|
用于安全事件響應(yīng)的工具與資源的列表�,旨在幫助安全分析師與 DFIR 團(tuán)隊(duì)。 DFIR 團(tuán)隊(duì)是組織中負(fù)責(zé)安全事件響應(yīng)(包括事件證據(jù)����、影響修復(fù)等)的人員組織,以防止組織將來再次發(fā)生該事件���。 目錄對(duì)抗模擬 工具集 書籍 社區(qū) 磁盤鏡像創(chuàng)建工具 證據(jù)收集 事件管理 Linux 發(fā)行版 Linux 證據(jù)收集 日志分析工具 內(nèi)存分析工具 內(nèi)存鏡像工具 OSX 證據(jù)收集 其它清單 其他工具 Playbooks 進(jìn)程 Dump 工具 沙盒 / 逆向工具 時(shí)間線工具 視頻 Windows 證據(jù)收集
IR 工具收集對(duì)抗模擬APTSimulator - 使用一組工具與輸出文件處理操作系統(tǒng)的 Windows 批處理腳本����,使得系統(tǒng)看上去像被攻陷了���。 Atomic Red Team (ART) - 與 Mitre ATT&CK 框架匹配的便攜測(cè)試工具��。 AutoTTP - 自動(dòng)策略技術(shù)與程序���。手動(dòng)重復(fù)運(yùn)行復(fù)雜序列進(jìn)行回歸測(cè)試,產(chǎn)品評(píng)估����,為研究人員生成數(shù)據(jù)。 Blue Team Training Toolkit (BT3) - 用于防御性安全培訓(xùn)的軟件��,將網(wǎng)絡(luò)分析培訓(xùn)課程,事件響應(yīng)演練和 Red Team 合作提升到一個(gè)新的水平����。 Caldera - 在 Windows Enterprise 網(wǎng)絡(luò)中攻陷系統(tǒng)后執(zhí)行敵對(duì)行為的自動(dòng)對(duì)手仿真系統(tǒng)。運(yùn)行時(shí)的行為由計(jì)劃系統(tǒng)和基于 ATT&CK? 項(xiàng)目預(yù)先配置的對(duì)手模型生成�����。 DumpsterFire - DumpsterFire 工具集是一個(gè)模塊化����、菜單驅(qū)動(dòng)的跨平臺(tái)工具,用于構(gòu)建可重復(fù)的分布式安全事件�。創(chuàng)建 Blue Team 演戲與傳感器報(bào)警映射關(guān)系的自定義事件鏈。Red Team 可以制造誘餌事件���,分散防守方的注意力以支持和擴(kuò)大戰(zhàn)果��。 Metta - 用于進(jìn)行敵對(duì)模擬的信息安全防御工具���。 Network Flight Simulator - 用于生成惡意網(wǎng)絡(luò)流量并幫助安全團(tuán)隊(duì)評(píng)估安全控制和網(wǎng)絡(luò)可見性的輕量級(jí)程序。 Red Team Automation (RTA) - RTA 提供了一個(gè)旨在讓 Blue Team 在經(jīng)歷過 MITRE ATT&CK 模型為指導(dǎo)的攻擊行為后的檢測(cè)能力的腳本框架��。 RedHunt-OS - 用于模擬對(duì)手與威脅狩獵的虛擬機(jī)�。
工具集Belkasoft Evidence Center - 該工具包可以快速?gòu)亩鄠€(gè)數(shù)據(jù)源提取電子證據(jù)���,包括硬盤、硬盤鏡像�����、內(nèi)存轉(zhuǎn)儲(chǔ)����、iOS����、黑莓與安卓系統(tǒng)備份、UFED��、JTAG 與 chip-off 轉(zhuǎn)儲(chǔ)���。 CimSweep - CimSweep 是一套基于 CIM/WMI 的工具�����,提供在所有版本的 Windows 上執(zhí)行遠(yuǎn)程事件響應(yīng)和追蹤����。 CIRTkit - CIRTKit 不僅是一個(gè)工具集合,更是一個(gè)框架���,統(tǒng)籌事件響應(yīng)與取證調(diào)查的進(jìn)程��。 Cyber Triage - Cyber Triage 遠(yuǎn)程收集分析終端數(shù)據(jù)����,以幫助確定計(jì)算機(jī)是否被入侵��。其專注易用性與自動(dòng)化��,采用無代理的部署方法使公司在沒有重大基礎(chǔ)設(shè)施及取證專家團(tuán)隊(duì)的情況下做出響應(yīng)�。其分析結(jié)果用于決定該終端是否應(yīng)該被擦除或者進(jìn)行進(jìn)一步調(diào)查。 Digital Forensics Framework - DFF 是一個(gè)建立在專用 API 之上的開源計(jì)算機(jī)取證平臺(tái)����,DFF 提出了一種替代目前老舊的數(shù)字取證解決方案。其設(shè)計(jì)簡(jiǎn)單����、更加易于自動(dòng)化。DFF 接口可以幫助用戶進(jìn)行數(shù)字調(diào)查取證的主要步驟��,專業(yè)與非專業(yè)人員都可以快速的進(jìn)行數(shù)字取證并執(zhí)行事件響應(yīng)。 Doorman - Doorman 是一個(gè) osquery 的管理平臺(tái)�,可以遠(yuǎn)程管理節(jié)點(diǎn)的 osquery 配置。它利用 osquery 的 TLS 配置\記錄器\分布式讀寫等優(yōu)勢(shì)僅以最小開銷和侵入性為管理員提供一組設(shè)備的管理可見性�。 Envdb - Envdb 將你的生產(chǎn)\開發(fā)\云等環(huán)境變成數(shù)據(jù)庫(kù)集群,你可以使用 osquery 作為基礎(chǔ)搜索���。它將 osquery 的查詢進(jìn)程和一個(gè)agent打包在一起向一個(gè)集中位置發(fā)送�����。 Falcon Orchestrator - Falcon Orchestrator 是由 CrowdStrike 提供的一個(gè)基于 Windows 可擴(kuò)展的應(yīng)用程序,提供工作流自動(dòng)化�、案例管理與安全應(yīng)急響應(yīng)等功能。 GRR Rapid Response - GRR Rapid Response 是一個(gè)用來遠(yuǎn)程現(xiàn)場(chǎng)實(shí)時(shí)取證的應(yīng)急響應(yīng)框架����,其帶有一個(gè)python客戶端安裝在目標(biāo)系統(tǒng)以及一個(gè)可以管理客戶端的 Python 編寫的服務(wù)器。 Kolide Fleet - Kolide Fleet 是一個(gè)為安全專家定制的先進(jìn)的主機(jī)監(jiān)控平臺(tái)����。通過利用Facebook經(jīng)過實(shí)戰(zhàn)檢驗(yàn)的 osquery 項(xiàng)目,Kolide 能夠快速回答復(fù)雜問題��。 Limacharlie - 一個(gè)終端安全平臺(tái)�,它本身是一個(gè)小項(xiàng)目的集合,并提供了一個(gè)跨操作系統(tǒng)的低級(jí)環(huán)境����,你可以管理并推送附加功能進(jìn)入內(nèi)存給程序擴(kuò)展功能����。 MIG - Mozilla Investigator (MIG) 是一個(gè)在遠(yuǎn)程終端執(zhí)行調(diào)查的平臺(tái)��,它可以在大量系統(tǒng)中并行獲取數(shù)據(jù)���,從而加速事故調(diào)查與日常業(yè)務(wù)安全 MozDef - Mozilla Defense Platform (MozDef) 旨在幫助安全事件處理自動(dòng)化���,并促進(jìn)事件的實(shí)時(shí)處理。 nightHawk - nightHawk Response Platform 是一個(gè)以 ElasticSearch 為后臺(tái)的異步取證數(shù)據(jù)呈現(xiàn)的應(yīng)用程序�,設(shè)計(jì)與 Redline 配合調(diào)查。 Open Computer Forensics Architecture - Open Computer Forensics Architecture (OCFA) 是另一個(gè)分布式開源計(jì)算機(jī)取證框架�����,這個(gè)框架建立在 Linux 平臺(tái)上�����,并使用 postgreSQL 數(shù)據(jù)庫(kù)來存儲(chǔ)數(shù)據(jù)����。 Osquery - osquery 可以找到 Linux 與 OSX 基礎(chǔ)設(shè)施的問題,無論你是要入侵檢測(cè)��、基礎(chǔ)架構(gòu)可靠性檢查或者合規(guī)性檢查�,osquery 都能夠幫助你提高公司內(nèi)部的安全組織能力, incident-response pack 可以幫助你進(jìn)行檢測(cè)\響應(yīng)活動(dòng)�。 Redline - 為用戶提供主機(jī)調(diào)查工具,通過內(nèi)存與文件分析來找到惡意行為的活動(dòng)跡象���,包括對(duì)威脅評(píng)估配置文件的開發(fā) The Sleuth Kit & Autopsy - Sleuth Kit 是基于 Unix 和 Windows 的工具���,可以幫助計(jì)算機(jī)取證分析,其中包含各種協(xié)助取證的工具�����,比如分析磁盤鏡像、文件系統(tǒng)深度分析等 TheHive - TheHive 是一個(gè)可擴(kuò)展的三合一開源解決方案����,旨在讓 SOC、CSIRT��、CERT 或其他任何信息安全從業(yè)人員快速地進(jìn)行安全事件調(diào)查�。 X-Ways Forensics - X-Ways 是一個(gè)用于磁盤克隆、鏡像的工具,可以查找已經(jīng)刪除的文件并進(jìn)行磁盤分析��。 Zentral - 與 osquery 強(qiáng)大的端點(diǎn)清單保護(hù)能力相結(jié)合�����,通知與行動(dòng)都靈活的框架�����,可以快速對(duì) OS X 與 Linux 客戶機(jī)上的更改做出識(shí)別與響應(yīng)�。
書籍社區(qū)augmentd - 這是一家社區(qū)驅(qū)動(dòng)的網(wǎng)站,上面提供了一個(gè)可通過不同的常用安全工具部署執(zhí)行的搜索清單 Sans DFIR mailing list - Mailing list by SANS for DFIR Slack DFIR channel - Slack DFIR Communitiy channel - Signup here
磁盤鏡像創(chuàng)建工具AccessData FTK Imager - AccessData FTK Imager 是一個(gè)從任何類型的磁盤中預(yù)覽可恢復(fù)數(shù)據(jù)的取證工具�����,F(xiàn)TK Imager 可以在 32\64 位系統(tǒng)上實(shí)時(shí)采集內(nèi)存與頁(yè)面文件�。 Bitscout - Vitaly Kamluk 開發(fā)的 Bitscout 可以幫助你定制一個(gè)完全可信的 LiveCD/LiveUSB 鏡像以供遠(yuǎn)程數(shù)字取證使用(或者你需要的其它任務(wù))。它對(duì)系統(tǒng)所有者透明且可被監(jiān)控��,同時(shí)可用于法庭質(zhì)證�����、可定制且緊湊����。 GetData Forensic Imager - GetData Forensic Imager 是一個(gè)基于 Windows 程序�����,將常見的鏡像文件格式進(jìn)行獲取\轉(zhuǎn)換\驗(yàn)證取證 Guymager - Guymager 是一個(gè)用于 Linux 上媒體采集的免費(fèi)鏡像取證器�����。 Magnet ACQUIRE - Magnet Forensics 開發(fā)的 ACQUIRE 可以在不同類型的磁盤上執(zhí)行取證,包括 Windows\Linux\OS X 與移動(dòng)操作系統(tǒng)�。
證據(jù)收集bulk_extractor - bulk_extractor 是一個(gè)計(jì)算機(jī)取證工具��,可以掃描磁盤鏡像�、文件、文件目錄���,并在不解析文件系統(tǒng)或文件系統(tǒng)結(jié)構(gòu)的情況下提取有用的信息����,由于其忽略了文件系統(tǒng)結(jié)構(gòu)��,程序在速度和深入程度上都相比其它工具有了很大的提高�。 Cold Disk Quick Response - 使用精簡(jiǎn)的解析器列表來快速分析取證鏡像文件(dd, E01, .vmdk, etc)并輸出報(bào)告��。 ir-rescue - ir-rescue 是一個(gè) Windows 批處理腳本與一個(gè) Unix Bash 腳本,用于在事件響應(yīng)期在主機(jī)全面收集證據(jù)。 Live Response Collection - BriMor 開發(fā)的 Live Response collection 是一個(gè)用于從 Windows����、OSX、*nix 等操作系統(tǒng)中收集易失性數(shù)據(jù)的自動(dòng)化工具���。 Margarita Shotgun - 用于并行遠(yuǎn)程內(nèi)存獲取的命令行程序
事件管理CyberCPR - 處理敏感事件時(shí)為支持 GDPR 而構(gòu)建的社區(qū)和商業(yè)事件管理工具 Cyphon - Cyphon 通過一個(gè)單一的平臺(tái)來組織一系列相關(guān)聯(lián)的工作消除了事件管理的開銷���。它對(duì)事件進(jìn)行收集、處理���、分類����。 Demisto - Demisto 免費(fèi)的社區(qū)版提供全事件生命周期的管理���,事件披露報(bào)告���,團(tuán)隊(duì)任務(wù)分配與協(xié)作,以及眾多增強(qiáng)自動(dòng)化的系統(tǒng)集成(如 Active Directory, PagerDuty, Jira 等)�����。 FIR - Fast Incident Response (FIR) 是一個(gè)網(wǎng)絡(luò)安全事件管理平臺(tái),在設(shè)計(jì)時(shí)考慮了敏捷性與速度��。其可以輕松創(chuàng)建�����、跟蹤�����、報(bào)告網(wǎng)絡(luò)安全應(yīng)急事件并用于 CSIRT��、CERT 與 SOC 等人員��。 KAPE - 審核工具��,用于查找最普遍的數(shù)字證據(jù)然后進(jìn)行快速地解析���,效率很高���。 RTIR - Request Tracker for Incident Response (RTIR) 對(duì)于安全團(tuán)隊(duì)來說是首要的開源事件處理系統(tǒng),其與世界各地的十多個(gè) CERT 與 CSIRT 合作,幫助處理不斷增加的事件報(bào)告��,RTIR 包含 Request Tracker 的全部功能�����。 Sandia Cyber Omni Tracker (SCOT) - Sandia Cyber Omni Tracker (SCOT) 是一個(gè)應(yīng)急響應(yīng)協(xié)作與知識(shí)獲取工具���,為事件響應(yīng)的過程在不給用戶帶來負(fù)擔(dān)的情況下增加價(jià)值����。 threat_note - 一個(gè)輕量級(jí)的調(diào)查筆記��,允許安全研究人員注冊(cè)��、檢索他們需要的 IOC 數(shù)據(jù)�����。
Linux 發(fā)行版ADIA - Appliance for Digital Investigation and Analysis (ADIA) 是一個(gè)基于 VMware 的應(yīng)用程序��,用于進(jìn)行數(shù)字取證��。其完全由公開軟件構(gòu)建�,包含的工具有 Autopsy\Sleuth Kit\Digital Forensics Framework\log2timeline\Xplico\Wireshark。大多數(shù)系統(tǒng)維護(hù)使用 Webmin����。它為中小規(guī)模的數(shù)字取證設(shè)計(jì)�����,可在 Linux��、Windows 及 Mac OS 下使用��。 CAINE - Computer Aided Investigative Environment (CAINE) 包含許多幫助調(diào)查人員進(jìn)行分析的工具���,包括取證工具。 CCF-VM - CyLR CDQR Forensics Virtual Machine (CCF-VM): 一款多合一的解決方案�����,能夠解析收集的數(shù)據(jù)����,將它轉(zhuǎn)化得易于使用內(nèi)建的常見搜索,也可并行搜索一個(gè)或多個(gè)主機(jī)���。 DEFT - Digital Evidence & Forensics Toolkit (DEFT) 是一個(gè)用于計(jì)算機(jī)取證的 Linux 發(fā)行版�,它與 Windows 上的 Digital Advanced Response Toolkit (DART) 捆綁在一起����。DEFT 的輕量版被成為 DEFT Zero���,主要關(guān)注可用于法庭質(zhì)證的取證環(huán)節(jié)�。 NST - Network Security Toolkit - 包括大量的優(yōu)秀開源網(wǎng)絡(luò)安全應(yīng)用程序的 Linux 發(fā)行版 PALADIN - PALADIN 是一個(gè)附帶許多開源取證工具的改 Linux 發(fā)行版,用于以可被法庭質(zhì)證的方式執(zhí)行取證任務(wù) Security Onion - Security Onion 是一個(gè)特殊的 Linux 發(fā)行版�,旨在利用高級(jí)的分析工具進(jìn)行網(wǎng)絡(luò)安全監(jiān)控 SIFT Workstation - SANS Investigative Forensic Toolkit (SIFT) 使用前沿的優(yōu)秀開源工具以實(shí)現(xiàn)高級(jí)事件響應(yīng)與入侵深度數(shù)字取證,這些功能免費(fèi)提供并且經(jīng)常更新����。
Linux 證據(jù)收集日志分析工具Kaspersky CyberTrace - 將威脅數(shù)據(jù)與 SIEM 集成的分析工具,用戶可以在現(xiàn)有安全運(yùn)營(yíng)和工作流中利用威脅情報(bào)進(jìn)行安全監(jiān)控與事件響應(yīng)��。 Lorg - 一個(gè)用 HTTPD 日志進(jìn)行高級(jí)安全分析與取證的工具 Logdissect - 用于分析日志文件和其他數(shù)據(jù)的 CLI 實(shí)用程序和 Python API StreamAlert - Serverless, real-time log data analysis framework, capable of ingesting custom data sources and triggering alerts using user-defined logic. SysmonSearch - SysmonSearch 通過聚合事件日志使分析 Windows 事件日志的效率更高���。
內(nèi)存分析工具Evolve - Volatility 內(nèi)存取證框架的 Web 界面 inVtero.net - 支持 hypervisor 的 Windows x64 高級(jí)內(nèi)存分析 KnTList - 計(jì)算機(jī)內(nèi)存分析工具 LiME - LiME 是 Loadable Kernel Module (LKM)����,可以從 Linux 以及基于 Linux 的設(shè)備采集易失性內(nèi)存數(shù)據(jù)��。 MalConfScan - MalConfScan 是使用 Volatility 提取已知惡意軟件配置信息的插件���,Volatility 是用于事件響應(yīng)與惡意軟件分析的開源內(nèi)存取證框架�����。該插件在內(nèi)存中搜索惡意軟件并提取配置信息��,此外該工具具有列出惡意代碼使用的字符串的功能�。 Memoryze - 由 Mandiant 開發(fā)的 Memoryze 是一個(gè)免費(fèi)的內(nèi)存取證軟件,可以幫助應(yīng)急響應(yīng)人員在內(nèi)存中定位惡意部位, Memoryze 也可以分析內(nèi)存鏡像或者在正在運(yùn)行的系統(tǒng)上把頁(yè)面文件加入它的分析���。 Memoryze for Mac - Memoryze for Mac 是 Memoryze 但僅限于 Mac,且功能較少���。 Rekall - 用于從 RAM 中提取樣本的開源工具 Responder PRO - Responder PRO 是一個(gè)工業(yè)級(jí)的物理內(nèi)存及自動(dòng)化惡意軟件分析解決方案 Volatility - 高級(jí)內(nèi)存取證框架 VolatilityBot - VolatilityBot 是一個(gè)自動(dòng)化工具,幫助研究員減少在二進(jìn)制程序提取解析階段的手動(dòng)任務(wù)�,或者幫助研究人員進(jìn)行內(nèi)存分析調(diào)查的第一步 VolDiff - 基于 Volatility 的 惡意軟件足跡分析 WindowsSCOPE - 一個(gè)用來分析易失性內(nèi)存的取證與逆向工程工具,被用于對(duì)惡意軟件進(jìn)行逆向分析��,提供了分析 Windows 內(nèi)核\驅(qū)動(dòng)程序\DLL\虛擬與物理內(nèi)存的功能����。
內(nèi)存鏡像工具Belkasoft Live RAM Capturer - 輕量級(jí)取證工具,即使有反調(diào)試\反轉(zhuǎn)儲(chǔ)的系統(tǒng)保護(hù)下也可以方便地提取全部易失性內(nèi)存的內(nèi)容。 Linux Memory Grabber - 用于 dump Linux 內(nèi)存并創(chuàng)建 Volatility 配置文件的腳本��。 Magnet RAM Capture - Magnet RAM Capture 是一個(gè)免費(fèi)的鏡像工具����,可以捕獲可疑計(jì)算機(jī)中的物理內(nèi)存,支持最新版的 Windows。 OSForensics - OSForensics 可以獲取 32/64 位系統(tǒng)的實(shí)時(shí)內(nèi)存��,可以將每個(gè)獨(dú)立進(jìn)程的內(nèi)存空間 dump 下來���。
OSX 證據(jù)收集Knockknock - 顯示那些在 OSX 上被設(shè)置為自動(dòng)執(zhí)行的那些腳本���、命令�、程序等。 mac_apt - macOS Artifact Parsing Tool - 基于插件的取證框架��,可以對(duì)正在運(yùn)行的系統(tǒng)����、硬盤鏡像或者單個(gè)文件。 OSX Auditor - OSX Auditor 是一個(gè)面向 Mac OS X 的免費(fèi)計(jì)算機(jī)取證工具��。 OSX Collector - OSX Auditor 的實(shí)時(shí)響應(yīng)版�����。
其它清單其他工具Cortex - Cortex 可以通過 Web 界面逐個(gè)或批量對(duì) IP 地址\郵件地址\URL\域名\文件哈希的分析,還可以使用 REST API 來自動(dòng)執(zhí)行這些操作 Crits - 一個(gè)將分析引擎與網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)相結(jié)合且?guī)в?Web 界面的工具 Diffy - Netflix de SIRT 開發(fā)的 DFIR 工具����,允許調(diào)查人員快速地跨越云主機(jī)(AWS 的 Linux 實(shí)例)并通過審查基線的的差異來有效地審查這些實(shí)例以便進(jìn)行后續(xù)操作 domfind - domfind 一個(gè)用 Python 編寫的 DNS 爬蟲,它可以找到在不同頂級(jí)域名下面的相同域名. Fenrir - Fenrir 是一個(gè)簡(jiǎn)單的 IOC 掃描器,可以在純 bash 中掃描任意 Linux/Unix/OSX 系統(tǒng),由 THOR 與 LOKI 的開發(fā)者創(chuàng)作 Fileintel - 為每個(gè)文件哈希值提供情報(bào) HELK - 威脅捕捉 Hindsight - 針對(duì) Google Chrome/Chromium 中瀏覽歷史的數(shù)字取證 Hostintel - 為每個(gè)主機(jī)提供情報(bào) imagemounter - 命令行工具及 Python 包,可以簡(jiǎn)單地 mount/unmount 數(shù)字取證的硬盤鏡像 Kansa - Kansa 是一個(gè) PowerShell 的模塊化應(yīng)急響應(yīng)框架 PyaraScanner - PyaraScanner 是一個(gè)非常簡(jiǎn)單的多線程�、多規(guī)則、多文件的 YARA 掃描腳本 rastrea2r - 使用 YARA 在 Windows�����、Linux 與 OS X 上掃描硬盤或內(nèi)存 RaQet - RaQet 是一個(gè)非常規(guī)的遠(yuǎn)程采集與分類工具����,允許對(duì)那些為取證構(gòu)建的操作系統(tǒng)進(jìn)行遠(yuǎn)端計(jì)算機(jī)的遴選 Stalk - 收集關(guān)于 MySQL 的取證數(shù)據(jù) Scout2 - 幫助 Amazon Web 服務(wù)管理員評(píng)估其安全態(tài)勢(shì)的工具 SearchGiant - 從云服務(wù)中獲取取證數(shù)據(jù)的命令行程序 Stenographer - Stenographer 是一個(gè)數(shù)據(jù)包捕獲解決方案,旨在快速將全部數(shù)據(jù)包轉(zhuǎn)儲(chǔ)到磁盤中��,然后提供對(duì)這些數(shù)據(jù)包的快速訪問�。它存儲(chǔ)盡可能多的歷史記錄并且管理磁盤的使用情況,在大小達(dá)到設(shè)定的上限時(shí)刪除記錄�,非常適合在事件發(fā)生前與發(fā)生中捕獲流量,而不是顯式存儲(chǔ)所有流量�����。 sqhunter - 一個(gè)基于 osquery 和 Salt Open (SaltStack) 的威脅捕捉工具��,它無需 osquery 的 tls 插件就能發(fā)出臨時(shí)的或者分布式的查詢����。sqhunter 也可以查詢開放的 sockets���,并將它們與威脅情報(bào)進(jìn)行比對(duì)。 traceroute-circl - 由 Computer Emergency Responce Center Luxembourg 開發(fā)的 traceroute-circl 是一個(gè)增強(qiáng)型的 traceroute 來幫助 CSIRT\CERT 的工作人員���,通常 CSIRT 團(tuán)隊(duì)必須根據(jù)收到的 IP 地址處理事件 X-Ray 2.0 - 一個(gè)用來向反病毒廠商提供樣本的 Windows 實(shí)用工具(幾乎不再維護(hù))
PlaybooksDemisto Playbooks Collection - Playbook 集錦 IRM - CERT Societe Generale 開發(fā)的事件響應(yīng)方法論 IR Workflow Gallery - 不同的通用事件響應(yīng)工作流程,例如惡意軟件爆發(fā)��、數(shù)據(jù)竊取�����、未經(jīng)授權(quán)的訪問等,每個(gè)工作流程都有七個(gè)步驟:準(zhǔn)備����、檢測(cè)、分析��、遏制��、根除����、恢復(fù)�、事后處理��。 PagerDuty Incident Response Documentation - 描述 PagerDuty 應(yīng)急響應(yīng)過程的文檔,不僅提供了關(guān)于事件準(zhǔn)備的信息���,還提供了在此前與之后要做什么工作�,源在 GitHub 上����。
進(jìn)程 Dump 工具沙盒/逆向工具AMAaaS - 安卓惡意軟件分析服務(wù)�,在原生安卓環(huán)境中執(zhí)行 Any Run - 交互式惡意軟件分析服務(wù),對(duì)大多數(shù)類型的威脅進(jìn)行靜態(tài)與動(dòng)態(tài)分析 CAPE - 惡意軟件配置與 Payload 提取 Cuckoo - 開源沙盒工具���,高度可定制化 Cuckoo-modified - 社區(qū)基于 Cuckoo 的大修版 Cuckoo-modified-api - 一個(gè)用來控制 Cuckoo 沙盒設(shè)置的 Python 庫(kù) Hybrid-Analysis - Hybrid-Analysis 是一個(gè)由 Payload Security 提供的免費(fèi)在線沙盒 Intezer - 深入分析 Windows 二進(jìn)制文件����,檢測(cè)與已知威脅的 micro-code 相似性�,以便提供準(zhǔn)確且易于理解的結(jié)果 Joe Sandbox (Community) - Joe Sandbox 沙盒分析檢測(cè) Windows、Android����、Mac OS、Linux 和 iOS 中的惡意軟件與 URL�����,查找可疑文件并提供全面、詳細(xì)的分析報(bào)告 Mastiff - MASTIFF 是一個(gè)靜態(tài)分析框架���,可以自動(dòng)化的從多種文件格式中提取關(guān)鍵特征��。 Metadefender Cloud - Metadefender 是一個(gè)免費(fèi)的威脅情報(bào)平臺(tái)�����,提供多點(diǎn)掃描��、數(shù)據(jù)清理以及對(duì)文件的脆弱性分析 Reverse.IT - 由 CrowdStrike 提供支持的分析工具 Valkyrie Comodo - Valkyrie 使用運(yùn)行時(shí)行為與文件的數(shù)百個(gè)特征進(jìn)行分析 Viper - Viper 是一個(gè)基于 Python 的二進(jìn)制程序分析及管理框架���,支持 Cuckoo 與 YARA Virustotal - Virustotal, Google 的子公司,一個(gè)免費(fèi)在線分析文件/URL的廠商�����,可以分析病毒\蠕蟲\木馬以及其他類型被反病毒引擎或網(wǎng)站掃描器識(shí)別的惡意內(nèi)容 Visualize_Logs - Cuckoo���、Procmon等日志的開源可視化庫(kù)
時(shí)間線工具Highlighter - Fire/Mandiant 開發(fā)的免費(fèi)工具,來分析日志/文本文件�����,可以對(duì)某些關(guān)鍵字或短語進(jìn)行高亮顯示,有助于時(shí)間線的整理 Morgue - 一個(gè) Etsy 開發(fā)的 PHP Web 應(yīng)用�����,可用于管理事后處理 Plaso - 一個(gè)基于 Python 用于 log2timeline 的后端引擎 Timesketch - 用于協(xié)作取證時(shí)間線分析的開源工具
視頻Windows 證據(jù)收集AChoir - Achoir 是一個(gè)將對(duì) Windows 的實(shí)時(shí)采集工具腳本化變得更標(biāo)準(zhǔn)與簡(jiǎn)單的框架 Binaryforay - 一個(gè) Windows 取證的免費(fèi)工具列表 (http://binaryforay./) Crowd Response - 由 CrowdStrike 開發(fā)的 Crowd Response 是一個(gè)輕量級(jí) Windows 終端應(yīng)用,旨在收集用于應(yīng)急響應(yīng)與安全操作的系統(tǒng)信息���,其包含許多模塊與輸出格式�。 DFIR ORC - DFIR ORC 是專門用于證據(jù)收集的關(guān)鍵組件��,提供了 Windows 計(jì)算機(jī)的取證快照�����,代碼在 GitHub 上找到 FastIR Collector - FastIR Collector 在 Windows 系統(tǒng)中實(shí)時(shí)收集各種信息并將結(jié)果記錄在 CSV 文件中��,通過對(duì)這些信息的分析��,我們可以發(fā)現(xiàn)早期的入侵痕跡 FECT - Fast Evidence Collector Toolkit (FECT) 是一個(gè)輕量級(jí)的應(yīng)急響應(yīng)工具集�����,用于在可疑的 Windows 計(jì)算機(jī)上取證�,它可以讓非技術(shù)調(diào)查人員更專業(yè)的進(jìn)行應(yīng)急處理。 Fibratus - 探索與跟蹤 Windows 內(nèi)核的工具�����。 IREC - 免費(fèi)、高效��、易用的集成 IR 證據(jù)收集工具��,可收集內(nèi)存映像�、$MFT、事件日志�、WMI 腳本、注冊(cè)表����,系統(tǒng)還原點(diǎn)等 IOC Finder - IOC Finder 是由 Mandiant 開發(fā)的免費(fèi)工具,用來收集主機(jī)數(shù)據(jù)并報(bào)告存在危險(xiǎn)的 IOC���,僅支持 Windows���。 Fidelis ThreatScanner - Fidelis ThreatScanner 是一個(gè)由 Fidelis Cybersecurity 開發(fā)的免費(fèi)工具��,使用 OpenIOC 和 YARA 來報(bào)告終端設(shè)備的安全狀態(tài)��,ThreatScanner 衡量系統(tǒng)的運(yùn)行狀態(tài)后會(huì)出具匹配情況的報(bào)告���,僅限 Windows�。 LOKI - Loki 是一個(gè)使用 YARA 與其他 IOC 對(duì)終端進(jìn)行掃描的免費(fèi) IR 掃描器 Panorama - Windows 系統(tǒng)運(yùn)行時(shí)的快速事件概覽 PowerForensics - PowerShell 開發(fā)的實(shí)時(shí)硬盤取證框架 PSRecon - PSRecon 使用 PowerShell 在遠(yuǎn)程 Windows 主機(jī)上提取/整理數(shù)據(jù),并將數(shù)據(jù)發(fā)送到安全團(tuán)隊(duì)�����,數(shù)據(jù)可以通過郵件來傳送數(shù)據(jù)或者在本地留存 RegRipper - Regripper 是用 Perl 編寫的開源工具�,可以從注冊(cè)表中提取/解析數(shù)據(jù)(鍵\值\數(shù)據(jù))提供分析 TRIAGE-IR - Triage-IR 是一個(gè) Windows 下的 IR 收集工具
文章轉(zhuǎn)載:https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md 推薦一本書籍 《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)實(shí)戰(zhàn)指南》
2019年,奇安信安服團(tuán)隊(duì)出版了《應(yīng)急響應(yīng)-網(wǎng)絡(luò)安全的預(yù)防����、發(fā)現(xiàn)、處置和恢復(fù)》網(wǎng)絡(luò)安全應(yīng)急響應(yīng)基礎(chǔ)知識(shí)類科普?qǐng)D書����,旨在提高政企機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)在此方面的組織和能力建設(shè)��。2020年我們希望借助每年積累的上千起事件處理的經(jīng)驗(yàn)和實(shí)戰(zhàn)�,幫忙一線安全人員更加快速、更高質(zhì)量的處理應(yīng)急事件��,撰寫了《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)實(shí)戰(zhàn)指南》這本技術(shù)類圖書�。
本書共分為十章,前三章為應(yīng)急工程師需要掌握的理論和基礎(chǔ)技能和工具,分別為網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概述���、應(yīng)急工程師基礎(chǔ)技能�����、應(yīng)急響應(yīng)常用工具介紹��。后七章內(nèi)容為當(dāng)前應(yīng)急響應(yīng)工作中最常見的七大處理場(chǎng)景�����,分別是勒索病毒��、挖礦木馬����、webshell��、網(wǎng)頁(yè)篡改�����、DDOS攻擊�、數(shù)據(jù)泄露和流量劫持。我們希望通過具體的處置場(chǎng)景結(jié)合基礎(chǔ)技能和工具�,讓一線應(yīng)急工程師學(xué)會(huì)處置思路、掌握基礎(chǔ)技能����、熟悉應(yīng)急工具,以便實(shí)現(xiàn)快速響應(yīng)應(yīng)急事件的安全新要求�����。本書適合政企機(jī)構(gòu)�����、安全公司的安全運(yùn)營(yíng)人員���、應(yīng)急響應(yīng)人員和大中專院校網(wǎng)絡(luò)安全相關(guān)的學(xué)生和老師閱讀����。 奇安信安全服務(wù)團(tuán)隊(duì)介紹
奇安信是北京2022年冬奧會(huì)和冬殘奧會(huì)官方網(wǎng)絡(luò)安全服務(wù)和殺毒軟件贊助商���,作為中國(guó)領(lǐng)先的網(wǎng)絡(luò)安全品牌����,奇安信多次承擔(dān)國(guó)家級(jí)的重大活動(dòng)網(wǎng)絡(luò)安全保障工作,創(chuàng)建了穩(wěn)定可靠的網(wǎng)絡(luò)安全服務(wù)體系——全維度管控���、全網(wǎng)絡(luò)防護(hù)�����、全天候運(yùn)行�、全領(lǐng)域覆蓋���、全兵種協(xié)同�����、全線索閉環(huán)�����。
奇安信安全服務(wù)以攻防技術(shù)為核心�,聚焦威脅檢測(cè)和響應(yīng)���,通過提供咨詢規(guī)劃�����、威脅檢測(cè)���、攻防演習(xí)、持續(xù)響應(yīng)����、預(yù)警通告、安全運(yùn)營(yíng)等一系列實(shí)戰(zhàn)化的服務(wù)���,在云端安全大數(shù)據(jù)的支撐下��,為客戶提供全周期的安全保障服務(wù)�����。
應(yīng)急響應(yīng)服務(wù)致力于成為“網(wǎng)絡(luò)安全120”��。2016年以來����,奇安信已具備了豐富的應(yīng)急響應(yīng)實(shí)踐經(jīng)驗(yàn)����,應(yīng)急響應(yīng)業(yè)務(wù)覆蓋了全國(guó)31個(gè)省份�����,處置政企機(jī)構(gòu)網(wǎng)絡(luò)安全應(yīng)急事件超過兩千起����,累計(jì)投入工時(shí)25000多個(gè)小時(shí)���,為全國(guó)超千家政企機(jī)構(gòu)解決網(wǎng)絡(luò)安全問題�。
推出應(yīng)急響應(yīng)訓(xùn)練營(yíng)服務(wù)�����,將一線積累的豐富應(yīng)急響應(yīng)實(shí)踐經(jīng)驗(yàn)面向廣大政企機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)和賦能�,幫助政企機(jī)構(gòu)的安全管理者、安全運(yùn)營(yíng)人員��、工程師等不同層級(jí)的人群提高網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的能力和技術(shù)水平��。奇安信正在用專業(yè)的技術(shù)能力保障著企業(yè)用戶的網(wǎng)絡(luò)安全�����,最大程度的減少了安全事件所帶來的經(jīng)濟(jì)損失以及惡劣的社會(huì)負(fù)面影響����。
應(yīng)急響應(yīng)7*24小時(shí)熱線電話:4009-727-120 第1章 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概述1.1 應(yīng)急響應(yīng)基本概念1
1.2 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)基本概念1
1.3 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的能力與方法3
1.3.1 機(jī)構(gòu)�����、企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)應(yīng)具備的能力3
1.3.2 PDCERF(6階段)方法4
1.4 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)現(xiàn)場(chǎng)處置流程6
第2章 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工程師基礎(chǔ)技能82.1 系統(tǒng)排查8
2.1.1 系統(tǒng)基本信息8
2.1.2 用戶信息13
2.1.3 啟動(dòng)項(xiàng)20
2.1.4 任務(wù)計(jì)劃23
2.1.5 其他26
2.2 進(jìn)程排查28
2.3 服務(wù)排查39
2.4 文件痕跡排查41
2.5 日志分析53
2.6 內(nèi)存分析70
2.7 流量分析77
2.8 威脅情報(bào)83 第3章 常用工具介紹863.1 SysinternalsSuite86
3.2 PCHunter/火絨劍/PowerTool87
3.3 ProcessMonitor88
3.4 EventLogExplorer88
3.5 FullEventLogView89
3.6 LogParser90
3.7 ThreatHunting90
3.8 WinPrefetchView91
3.9 WifiHistoryView91
3.10 奇安信應(yīng)急響應(yīng)工具箱92 第4章 勒索病毒網(wǎng)絡(luò)安全應(yīng)急響應(yīng)954.1 勒索病毒概述95
4.1.1 勒索病毒簡(jiǎn)介95
4.1.2 常見的勒索病毒95
4.1.3 勒索病毒利用的常見漏洞103
4.1.4 勒索病毒的解密方法104
4.1.5 勒索病毒的傳播方法105
4.1.6 勒索病毒的攻擊特點(diǎn)106
4.1.7 勒索病毒的防御方法107
4.2 常規(guī)處置方法110
4.2.1 隔離被感染的服務(wù)器/主機(jī)110
4.2.2 排查業(yè)務(wù)系統(tǒng)111
4.2.3 確定勒索病毒種類�����,進(jìn)行溯源分析111
4.2.4 恢復(fù)數(shù)據(jù)和業(yè)務(wù)111
4.2.5 后續(xù)防護(hù)建議112
4.3 錯(cuò)誤處置方法112
4.4 常用工具113
4.4.1 勒索病毒查詢工具113
4.4.2 日志分析工具117
4.5 技術(shù)操作指南119
4.5.1 初步預(yù)判120
4.5.2 臨時(shí)處置126
4.5.3 系統(tǒng)排查127
4.5.4 日志排查135
4.5.5 網(wǎng)絡(luò)流量排查139
4.5.6 清除加固139
4.6 典型處置案例140
4.6.1 服務(wù)器感染GlobeImposter勒索病毒140
4.6.2 服務(wù)器感染Crysis勒索病毒145 第5章 挖礦木馬網(wǎng)絡(luò)安全應(yīng)急響應(yīng)1505.1 挖礦木馬概述150
5.1.1 挖礦木馬簡(jiǎn)介150
5.1.2 常見的挖礦木馬150
5.1.3 挖礦木馬的傳播方法153
5.1.4 挖礦木馬利用的常見漏洞154
5.2 常規(guī)處置方法155
5.2.1 隔離被感染的服務(wù)器/主機(jī)155
5.2.2 確認(rèn)挖礦進(jìn)程156
5.2.3 挖礦木馬清除156
5.2.4 挖礦木馬防范157
5.3 常用工具158
5.3.1 ProcessExplorer158
5.3.2 PCHunter160
5.4 技術(shù)操作指南162
5.4.1 初步預(yù)判162
5.4.2 系統(tǒng)排查165
5.4.3 日志排查176
5.4.4 清除加固178
5.5 典型處置案例179
5.5.1 Windows服務(wù)器感染挖礦木馬179
5.5.2 Linux服務(wù)器感染挖礦木馬183 第6章 Webshell網(wǎng)絡(luò)安全應(yīng)急響應(yīng)1886.1 Webshell概述188
6.1.1 Webshell分類188
6.1.2 Webshell用途189
6.1.3 Webshell檢測(cè)方法190
6.1.4 Webshell防御方法190
6.2 常規(guī)處置方法191
6.2.1 入侵時(shí)間確定191
6.2.2 Web日志分析192
6.2.3 漏洞分析192
6.2.4 漏洞復(fù)現(xiàn)192
6.2.5 漏洞修復(fù)193
6.3 常用工具194
6.3.1 掃描工具194
6.3.2 抓包工具195
6.4 技術(shù)操作指南195
6.4.1 初步預(yù)判196
6.4.2 Webshell排查198
6.4.3 Web日志分析199
6.4.4 系統(tǒng)排查202
6.4.5 日志排查218
6.4.6 網(wǎng)絡(luò)流量排查221
6.4.7 清除加固223
6.5 典型處置案例224
6.5.1 網(wǎng)站后臺(tái)登錄頁(yè)面被篡改224
6.5.2 Linux系統(tǒng)網(wǎng)站服務(wù)器被植入Webshell229
6.5.3 Windows系統(tǒng)網(wǎng)站服務(wù)器被植入Webshell235 第7章 網(wǎng)頁(yè)篡改網(wǎng)絡(luò)安全應(yīng)急響應(yīng)2387.1 網(wǎng)頁(yè)篡改概述238
7.1.1 網(wǎng)頁(yè)篡改事件分類238
7.1.2 網(wǎng)頁(yè)篡改原因239
7.1.3 網(wǎng)頁(yè)篡改攻擊手法240
7.1.4 網(wǎng)頁(yè)篡改檢測(cè)技術(shù)240
7.1.5 網(wǎng)頁(yè)篡改防御方法241
7.1.6 網(wǎng)頁(yè)篡改管理制度241
7.2 常規(guī)處置方法242
7.2.1 隔離被感染的服務(wù)器/主機(jī)242
7.2.2 排查業(yè)務(wù)系統(tǒng)242
7.2.3 確定漏洞源頭、溯源分析243
7.2.4 恢復(fù)數(shù)據(jù)和業(yè)務(wù)243
7.2.5 后續(xù)防護(hù)建議243
7.3 錯(cuò)誤處置方法243
7.4 常用工具244
7.5 技術(shù)操作指南244
7.5.1 初步預(yù)判244
7.5.2 系統(tǒng)排查245
7.5.3 日志排查247
7.5.4 網(wǎng)絡(luò)流量排查249
7.5.5 清除加固249
7.6 典型處置案例249
7.6.1 內(nèi)部系統(tǒng)主頁(yè)被篡改249
7.6.2 網(wǎng)站首頁(yè)被植入暗鏈252 第8章 DDoS攻擊網(wǎng)絡(luò)安全應(yīng)急響應(yīng)2578.1 DDOS攻擊概述257
8.1.1 DDoS攻擊簡(jiǎn)介257
8.1.2 DDoS攻擊目的257
8.1.3 常見DDoS攻擊方法258
8.1.4 DDoS攻擊中的一些誤區(qū)266
8.1.5 DDoS攻擊防御方法267
8.2 常規(guī)處置方法268
8.2.1 判斷DDoS攻擊的類型268
8.2.2 采取措施緩解269
8.2.3 溯源分析269
8.2.4 后續(xù)防護(hù)建議269
8.3 技術(shù)操作指南269
8.3.1 初步預(yù)判269
8.3.2 問題排查272
8.3.3 臨時(shí)處置方法272
8.3.4 研判溯源273
8.3.5 清除加固273
8.4 典型處置案例273 第9章 數(shù)據(jù)泄露網(wǎng)絡(luò)安全應(yīng)急響應(yīng)2759.1 數(shù)據(jù)泄露概述275
9.1.1 數(shù)據(jù)泄露簡(jiǎn)介275
9.1.2 數(shù)據(jù)泄露途徑275
9.1.3 數(shù)據(jù)泄露防范277
9.2 常規(guī)處置方法277
9.2.1 發(fā)現(xiàn)數(shù)據(jù)泄露277
9.2.2 梳理基本情況278
9.2.3 判斷泄露途徑278
9.2.4 數(shù)據(jù)泄露處置278
9.3 常用工具279
9.3.1 Hawkeye279
9.3.2 Sysmon283
9.4 技術(shù)操作指南287
9.4.1 初步研判287
9.4.2 確定排查范圍和目標(biāo)288
9.4.3 建立策略289
9.4.4 系統(tǒng)排查290
9.5 典型處置案例291
9.5.1 Web服務(wù)器數(shù)據(jù)泄露291
9.5.2 Web應(yīng)用系統(tǒng)數(shù)據(jù)泄露295 第10章 流量劫持網(wǎng)絡(luò)安全應(yīng)急響應(yīng)30310.1 流量劫持概述303
10.1.1 流量劫持簡(jiǎn)介303
10.1.2 常見流量劫持303
10.1.3 常見攻擊場(chǎng)景311
10.1.4 流量劫持防御方法313
10.2 常規(guī)處置方法313 
|
