网络安全应急响应技术实战指南
用于安全事件响应的工具与资源的列表,旨在帮助安全分析师与 DFIR 团队。
DFIR 团队是组织中负责安全事件响应(包括事件证据、影响修复等)的人员组织,以防止组织将来再次发生该事件。
目录
对抗模拟
工具集
书籍
社区
磁盘镜像创建工具
证据收集
事件管理
Linux 发行版
Linux 证据收集
日志分析工具
内存分析工具
内存镜像工具
OSX 证据收集
其它清单
其他工具
Playbooks
进程 Dump 工具
沙盒 / 逆向工具
时间线工具
视频
Windows 证据收集
IR 工具收集
对抗模拟
APTSimulator - 使用一组工具与输出文件处理操作系统的 Windows 批处理脚本,使得系统看上去像被攻陷了。
Atomic Red Team (ART) - 与 Mitre ATT&CK 框架匹配的便携测试工具。
AutoTTP - 自动策略技术与程序。手动重复运行复杂序列进行回归测试,产品评估,为研究人员生成数据。
Blue Team Training Toolkit (BT3) - 用于防御性安全培训的软件,将网络分析培训课程,事件响应演练和 Red Team 合作提升到一个新的水平。
Caldera - 在 Windows Enterprise 网络中攻陷系统后执行敌对行为的自动对手仿真系统。运行时的行为由计划系统和基于 ATT&CK™ 项目预先配置的对手模型生成。
DumpsterFire - DumpsterFire 工具集是一个模块化、菜单驱动的跨平台工具,用于构建可重复的分布式安全事件。创建 Blue Team 演戏与传感器报警映射关系的自定义事件链。Red Team 可以制造诱饵事件,分散防守方的注意力以支持和扩大战果。
Metta - 用于进行敌对模拟的信息安全防御工具。
Network Flight Simulator - 用于生成恶意网络流量并帮助安全团队评估安全控制和网络可见性的轻量级程序。
Red Team Automation (RTA) - RTA 提供了一个旨在让 Blue Team 在经历过 MITRE ATT&CK 模型为指导的攻击行为后的检测能力的脚本框架。
RedHunt-OS - 用于模拟对手与威胁狩猎的虚拟机。
工具集
Belkasoft Evidence Center - 该工具包可以快速从多个数据源提取电子证据,包括硬盘、硬盘镜像、内存转储、iOS、黑莓与安卓系统备份、UFED、JTAG 与 chip-off 转储。
CimSweep - CimSweep 是一套基于 CIM/WMI 的工具,提供在所有版本的 Windows 上执行远程事件响应和追踪。
CIRTkit - CIRTKit 不仅是一个工具集合,更是一个框架,统筹事件响应与取证调查的进程。
Cyber Triage - Cyber Triage 远程收集分析终端数据,以帮助确定计算机是否被入侵。其专注易用性与自动化,采用无代理的部署方法使公司在没有重大基础设施及取证专家团队的情况下做出响应。其分析结果用于决定该终端是否应该被擦除或者进行进一步调查。
Digital Forensics Framework - DFF 是一个建立在专用 API 之上的开源计算机取证平台,DFF 提出了一种替代目前老旧的数字取证解决方案。其设计简单、更加易于自动化。DFF 接口可以帮助用户进行数字调查取证的主要步骤,专业与非专业人员都可以快速的进行数字取证并执行事件响应。
Doorman - Doorman 是一个 osquery 的管理平台,可以远程管理节点的 osquery 配置。它利用 osquery 的 TLS 配置\记录器\分布式读写等优势仅以最小开销和侵入性为管理员提供一组设备的管理可见性。
Envdb - Envdb 将你的生产\开发\云等环境变成数据库集群,你可以使用 osquery 作为基础搜索。它将 osquery 的查询进程和一个agent打包在一起向一个集中位置发送。
Falcon Orchestrator - Falcon Orchestrator 是由 CrowdStrike 提供的一个基于 Windows 可扩展的应用程序,提供工作流自动化、案例管理与安全应急响应等功能。
GRR Rapid Response - GRR Rapid Response 是一个用来远程现场实时取证的应急响应框架,其带有一个python客户端安装在目标系统以及一个可以管理客户端的 Python 编写的服务器。
Kolide Fleet - Kolide Fleet 是一个为安全专家定制的先进的主机监控平台。通过利用Facebook经过实战检验的 osquery 项目,Kolide 能够快速回答复杂问题。
Limacharlie - 一个终端安全平台,它本身是一个小项目的集合,并提供了一个跨操作系统的低级环境,你可以管理并推送附加功能进入内存给程序扩展功能。
MIG - Mozilla Investigator (MIG) 是一个在远程终端执行调查的平台,它可以在大量系统中并行获取数据,从而加速事故调查与日常业务安全
MozDef - Mozilla Defense Platform (MozDef) 旨在帮助安全事件处理自动化,并促进事件的实时处理。
nightHawk - nightHawk Response Platform 是一个以 ElasticSearch 为后台的异步取证数据呈现的应用程序,设计与 Redline 配合调查。
Open Computer Forensics Architecture - Open Computer Forensics Architecture (OCFA) 是另一个分布式开源计算机取证框架,这个框架建立在 Linux 平台上,并使用 postgreSQL 数据库来存储数据。
Osquery - osquery 可以找到 Linux 与 OSX 基础设施的问题,无论你是要入侵检测、基础架构可靠性检查或者合规性检查,osquery 都能够帮助你提高公司内部的安全组织能力, incident-response pack 可以帮助你进行检测\响应活动。
Redline - 为用户提供主机调查工具,通过内存与文件分析来找到恶意行为的活动迹象,包括对威胁评估配置文件的开发
The Sleuth Kit & Autopsy - Sleuth Kit 是基于 Unix 和 Windows 的工具,可以帮助计算机取证分析,其中包含各种协助取证的工具,比如分析磁盘镜像、文件系统深度分析等
TheHive - TheHive 是一个可扩展的三合一开源解决方案,旨在让 SOC、CSIRT、CERT 或其他任何信息安全从业人员快速地进行安全事件调查。
X-Ways Forensics - X-Ways 是一个用于磁盘克隆、镜像的工具,可以查找已经删除的文件并进行磁盘分析。
Zentral - 与 osquery 强大的端点清单保护能力相结合,通知与行动都灵活的框架,可以快速对 OS X 与 Linux 客户机上的更改做出识别与响应。
书籍
Dfir intro) - 作者:Scott J. Roberts
The Practice of Network Security Monitoring: Understanding Incident Detection and Response - 作者:Richard Bejtlich
社区
augmentd - 这是一家社区驱动的网站,上面提供了一个可通过不同的常用安全工具部署执行的搜索清单
Sans DFIR mailing list - Mailing list by SANS for DFIR
Slack DFIR channel - Slack DFIR Communitiy channel - Signup here
磁盘镜像创建工具
AccessData FTK Imager - AccessData FTK Imager 是一个从任何类型的磁盘中预览可恢复数据的取证工具,FTK Imager 可以在 32\64 位系统上实时采集内存与页面文件。
Bitscout - Vitaly Kamluk 开发的 Bitscout 可以帮助你定制一个完全可信的 LiveCD/LiveUSB 镜像以供远程数字取证使用(或者你需要的其它任务)。它对系统所有者透明且可被监控,同时可用于法庭质证、可定制且紧凑。
GetData Forensic Imager - GetData Forensic Imager 是一个基于 Windows 程序,将常见的镜像文件格式进行获取\转换\验证取证
Guymager - Guymager 是一个用于 Linux 上媒体采集的免费镜像取证器。
Magnet ACQUIRE - Magnet Forensics 开发的 ACQUIRE 可以在不同类型的磁盘上执行取证,包括 Windows\Linux\OS X 与移动操作系统。
证据收集
bulk_extractor - bulk_extractor 是一个计算机取证工具,可以扫描磁盘镜像、文件、文件目录,并在不解析文件系统或文件系统结构的情况下提取有用的信息,由于其忽略了文件系统结构,程序在速度和深入程度上都相比其它工具有了很大的提高。
Cold Disk Quick Response - 使用精简的解析器列表来快速分析取证镜像文件(dd, E01, .vmdk, etc)并输出报告。
ir-rescue - ir-rescue 是一个 Windows 批处理脚本与一个 Unix Bash 脚本,用于在事件响应期在主机全面收集证据。
Live Response Collection - BriMor 开发的 Live Response collection 是一个用于从 Windows、OSX、*nix 等操作系统中收集易失性数据的自动化工具。
Margarita Shotgun - 用于并行远程内存获取的命令行程序
事件管理
CyberCPR - 处理敏感事件时为支持 GDPR 而构建的社区和商业事件管理工具
Cyphon - Cyphon 通过一个单一的平台来组织一系列相关联的工作消除了事件管理的开销。它对事件进行收集、处理、分类。
Demisto - Demisto 免费的社区版提供全事件生命周期的管理,事件披露报告,团队任务分配与协作,以及众多增强自动化的系统集成(如 Active Directory, PagerDuty, Jira 等)。
FIR - Fast Incident Response (FIR) 是一个网络安全事件管理平台,在设计时考虑了敏捷性与速度。其可以轻松创建、跟踪、报告网络安全应急事件并用于 CSIRT、CERT 与 SOC 等人员。
KAPE - 审核工具,用于查找最普遍的数字证据然后进行快速地解析,效率很高。
RTIR - Request Tracker for Incident Response (RTIR) 对于安全团队来说是首要的开源事件处理系统,其与世界各地的十多个 CERT 与 CSIRT 合作,帮助处理不断增加的事件报告,RTIR 包含 Request Tracker 的全部功能。
Sandia Cyber Omni Tracker (SCOT) - Sandia Cyber Omni Tracker (SCOT) 是一个应急响应协作与知识获取工具,为事件响应的过程在不给用户带来负担的情况下增加价值。
threat_note - 一个轻量级的调查笔记,允许安全研究人员注册、检索他们需要的 IOC 数据。
Linux 发行版
ADIA - Appliance for Digital Investigation and Analysis (ADIA) 是一个基于 VMware 的应用程序,用于进行数字取证。其完全由公开软件构建,包含的工具有 Autopsy\Sleuth Kit\Digital Forensics Framework\log2timeline\Xplico\Wireshark。大多数系统维护使用 Webmin。它为中小规模的数字取证设计,可在 Linux、Windows 及 Mac OS 下使用。
CAINE - Computer Aided Investigative Environment (CAINE) 包含许多帮助调查人员进行分析的工具,包括取证工具。
CCF-VM - CyLR CDQR Forensics Virtual Machine (CCF-VM): 一款多合一的解决方案,能够解析收集的数据,将它转化得易于使用內建的常见搜索,也可并行搜索一个或多个主机。
DEFT - Digital Evidence & Forensics Toolkit (DEFT) 是一个用于计算机取证的 Linux 发行版,它与 Windows 上的 Digital Advanced Response Toolkit (DART) 捆绑在一起。DEFT 的轻量版被成为 DEFT Zero,主要关注可用于法庭质证的取证环节。
NST - Network Security Toolkit - 包括大量的优秀开源网络安全应用程序的 Linux 发行版
PALADIN - PALADIN 是一个附带许多开源取证工具的改 Linux 发行版,用于以可被法庭质证的方式执行取证任务
Security Onion - Security Onion 是一个特殊的 Linux 发行版,旨在利用高级的分析工具进行网络安全监控
SIFT Workstation - SANS Investigative Forensic Toolkit (SIFT) 使用前沿的优秀开源工具以实现高级事件响应与入侵深度数字取证,这些功能免费提供并且经常更新。
Linux 证据收集
FastIR Collector Linux - FastIR 在 Linux 系统上收集不同的信息并将结果存入 CSV 文件
日志分析工具
Kaspersky CyberTrace - 将威胁数据与 SIEM 集成的分析工具,用户可以在现有安全运营和工作流中利用威胁情报进行安全监控与事件响应。
Lorg - 一个用 HTTPD 日志进行高级安全分析与取证的工具
Logdissect - 用于分析日志文件和其他数据的 CLI 实用程序和 Python API
StreamAlert - Serverless, real-time log data analysis framework, capable of ingesting custom data sources and triggering alerts using user-defined logic.
SysmonSearch - SysmonSearch 通过聚合事件日志使分析 Windows 事件日志的效率更高。
内存分析工具
Evolve - Volatility 内存取证框架的 Web 界面
inVtero.net - 支持 hypervisor 的 Windows x64 高级内存分析
KnTList - 计算机内存分析工具
LiME - LiME 是 Loadable Kernel Module (LKM),可以从 Linux 以及基于 Linux 的设备采集易失性内存数据。
MalConfScan - MalConfScan 是使用 Volatility 提取已知恶意软件配置信息的插件,Volatility 是用于事件响应与恶意软件分析的开源内存取证框架。该插件在内存中搜索恶意软件并提取配置信息,此外该工具具有列出恶意代码使用的字符串的功能。
Memoryze - 由 Mandiant 开发的 Memoryze 是一个免费的内存取证软件,可以帮助应急响应人员在内存中定位恶意部位, Memoryze 也可以分析内存镜像或者在正在运行的系统上把页面文件加入它的分析。
Memoryze for Mac - Memoryze for Mac 是 Memoryze 但仅限于 Mac,且功能较少。
Rekall - 用于从 RAM 中提取样本的开源工具
Responder PRO - Responder PRO 是一个工业级的物理内存及自动化恶意软件分析解决方案
Volatility - 高级内存取证框架
VolatilityBot - VolatilityBot 是一个自动化工具,帮助研究员减少在二进制程序提取解析阶段的手动任务,或者帮助研究人员进行内存分析调查的第一步
VolDiff - 基于 Volatility 的 恶意软件足迹分析
WindowsSCOPE - 一个用来分析易失性内存的取证与逆向工程工具,被用于对恶意软件进行逆向分析,提供了分析 Windows 内核\驱动程序\DLL\虚拟与物理内存的功能。
内存镜像工具
Belkasoft Live RAM Capturer - 轻量级取证工具,即使有反调试\反转储的系统保护下也可以方便地提取全部易失性内存的内容。
Linux Memory Grabber - 用于 dump Linux 内存并创建 Volatility 配置文件的脚本。
Magnet RAM Capture - Magnet RAM Capture 是一个免费的镜像工具,可以捕获可疑计算机中的物理内存,支持最新版的 Windows。
OSForensics - OSForensics 可以获取 32/64 位系统的实时内存,可以将每个独立进程的内存空间 dump 下来。
OSX 证据收集
Knockknock - 显示那些在 OSX 上被设置为自动执行的那些脚本、命令、程序等。
mac_apt - macOS Artifact Parsing Tool - 基于插件的取证框架,可以对正在运行的系统、硬盘镜像或者单个文件。
OSX Auditor - OSX Auditor 是一个面向 Mac OS X 的免费计算机取证工具。
OSX Collector - OSX Auditor 的实时响应版。
其它清单
Eric Zimmerman Tools - 由 SANS 的讲师 Eric Zimmerman 创建的取证工具列表
List of various Security APIs - 一个包括了在安全领域使用的公开 JSON API 的汇总清单
其他工具
Cortex - Cortex 可以通过 Web 界面逐个或批量对 IP 地址\邮件地址\URL\域名\文件哈希的分析,还可以使用 REST API 来自动执行这些操作
Crits - 一个将分析引擎与网络威胁数据库相结合且带有 Web 界面的工具
Diffy - Netflix de SIRT 开发的 DFIR 工具,允许调查人员快速地跨越云主机(AWS 的 Linux 实例)并通过审查基线的的差异来有效地审查这些实例以便进行后续操作
domfind - domfind 一个用 Python 编写的 DNS 爬虫,它可以找到在不同顶级域名下面的相同域名.
Fenrir - Fenrir 是一个简单的 IOC 扫描器,可以在纯 bash 中扫描任意 Linux/Unix/OSX 系统,由 THOR 与 LOKI 的开发者创作
Fileintel - 为每个文件哈希值提供情报
HELK - 威胁捕捉
Hindsight - 针对 Google Chrome/Chromium 中浏览历史的数字取证
Hostintel - 为每个主机提供情报
imagemounter - 命令行工具及 Python 包,可以简单地 mount/unmount 数字取证的硬盘镜像
Kansa - Kansa 是一个 PowerShell 的模块化应急响应框架
PyaraScanner - PyaraScanner 是一个非常简单的多线程、多规则、多文件的 YARA 扫描脚本
rastrea2r - 使用 YARA 在 Windows、Linux 与 OS X 上扫描硬盘或内存
RaQet - RaQet 是一个非常规的远程采集与分类工具,允许对那些为取证构建的操作系统进行远端计算机的遴选
Stalk - 收集关于 MySQL 的取证数据
Scout2 - 帮助 Amazon Web 服务管理员评估其安全态势的工具
SearchGiant - 从云服务中获取取证数据的命令行程序
Stenographer - Stenographer 是一个数据包捕获解决方案,旨在快速将全部数据包转储到磁盘中,然后提供对这些数据包的快速访问。它存储尽可能多的历史记录并且管理磁盘的使用情况,在大小达到设定的上限时删除记录,非常适合在事件发生前与发生中捕获流量,而不是显式存储所有流量。
sqhunter - 一个基于 osquery 和 Salt Open (SaltStack) 的威胁捕捉工具,它无需 osquery 的 tls 插件就能发出临时的或者分布式的查询。sqhunter 也可以查询开放的 sockets,并将它们与威胁情报进行比对。
traceroute-circl - 由 Computer Emergency Responce Center Luxembourg 开发的 traceroute-circl 是一个增强型的 traceroute 来帮助 CSIRT\CERT 的工作人员,通常 CSIRT 团队必须根据收到的 IP 地址处理事件
X-Ray 2.0 - 一个用来向反病毒厂商提供样本的 Windows 实用工具(几乎不再维护)
Playbooks
Demisto Playbooks Collection - Playbook 集锦
IRM - CERT Societe Generale 开发的事件响应方法论
IR Workflow Gallery - 不同的通用事件响应工作流程,例如恶意软件爆发、数据窃取、未经授权的访问等,每个工作流程都有七个步骤:准备、检测、分析、遏制、根除、恢复、事后处理。
PagerDuty Incident Response Documentation - 描述 PagerDuty 应急响应过程的文档,不仅提供了关于事件准备的信息,还提供了在此前与之后要做什么工作,源在 GitHub 上。
进程 Dump 工具
Microsoft User Mode Process Dumper - 用户模式下的进程 dump 工具,可以 dump 任意正在运行的 Win32 进程内存映像
PMDump - PMDump 是一个可以在不停止进程的情况下将进程的内存内容 dump 到文件中的工具
沙盒/逆向工具
AMAaaS - 安卓恶意软件分析服务,在原生安卓环境中执行
Any Run - 交互式恶意软件分析服务,对大多数类型的威胁进行静态与动态分析
CAPE - 恶意软件配置与 Payload 提取
Cuckoo - 开源沙盒工具,高度可定制化
Cuckoo-modified - 社区基于 Cuckoo 的大修版
Cuckoo-modified-api - 一个用来控制 Cuckoo 沙盒设置的 Python 库
Hybrid-Analysis - Hybrid-Analysis 是一个由 Payload Security 提供的免费在线沙盒
Intezer - 深入分析 Windows 二进制文件,检测与已知威胁的 micro-code 相似性,以便提供准确且易于理解的结果
Joe Sandbox (Community) - Joe Sandbox 沙盒分析检测 Windows、Android、Mac OS、Linux 和 iOS 中的恶意软件与 URL,查找可疑文件并提供全面、详细的分析报告
Mastiff - MASTIFF 是一个静态分析框架,可以自动化的从多种文件格式中提取关键特征。
Metadefender Cloud - Metadefender 是一个免费的威胁情报平台,提供多点扫描、数据清理以及对文件的脆弱性分析
Reverse.IT - 由 CrowdStrike 提供支持的分析工具
Valkyrie Comodo - Valkyrie 使用运行时行为与文件的数百个特征进行分析
Viper - Viper 是一个基于 Python 的二进制程序分析及管理框架,支持 Cuckoo 与 YARA
Virustotal - Virustotal, Google 的子公司,一个免费在线分析文件/URL的厂商,可以分析病毒\蠕虫\木马以及其他类型被反病毒引擎或网站扫描器识别的恶意内容
Visualize_Logs - Cuckoo、Procmon等日志的开源可视化库
时间线工具
Highlighter - Fire/Mandiant 开发的免费工具,来分析日志/文本文件,可以对某些关键字或短语进行高亮显示,有助于时间线的整理
Morgue - 一个 Etsy 开发的 PHP Web 应用,可用于管理事后处理
Plaso - 一个基于 Python 用于 log2timeline 的后端引擎
Timesketch - 用于协作取证时间线分析的开源工具
视频
Demisto IR video resources - 应急响应与取证分析的视频资源
The Future of Incident Response - Bruce Schneier 在 OWASP AppSecUSA 2015 上的分享
Windows 证据收集
AChoir - Achoir 是一个将对 Windows 的实时采集工具脚本化变得更标准与简单的框架
Binaryforay - 一个 Windows 取证的免费工具列表 (http://binaryforay.blogspot.co.il/)
Crowd Response - 由 CrowdStrike 开发的 Crowd Response 是一个轻量级 Windows 终端应用,旨在收集用于应急响应与安全操作的系统信息,其包含许多模块与输出格式。
DFIR ORC - DFIR ORC 是专门用于证据收集的关键组件,提供了 Windows 计算机的取证快照,代码在 GitHub 上找到
FastIR Collector - FastIR Collector 在 Windows 系统中实时收集各种信息并将结果记录在 CSV 文件中,通过对这些信息的分析,我们可以发现早期的入侵痕迹
FECT - Fast Evidence Collector Toolkit (FECT) 是一个轻量级的应急响应工具集,用于在可疑的 Windows 计算机上取证,它可以让非技术调查人员更专业的进行应急处理。
Fibratus - 探索与跟踪 Windows 内核的工具。
IREC - 免费、高效、易用的集成 IR 证据收集工具,可收集内存映像、$MFT、事件日志、WMI 脚本、注册表,系统还原点等
IOC Finder - IOC Finder 是由 Mandiant 开发的免费工具,用来收集主机数据并报告存在危险的 IOC,仅支持 Windows。
Fidelis ThreatScanner - Fidelis ThreatScanner 是一个由 Fidelis Cybersecurity 开发的免费工具,使用 OpenIOC 和 YARA 来报告终端设备的安全状态,ThreatScanner 衡量系统的运行状态后会出具匹配情况的报告,仅限 Windows。
LOKI - Loki 是一个使用 YARA 与其他 IOC 对终端进行扫描的免费 IR 扫描器
Panorama - Windows 系统运行时的快速事件概览
PowerForensics - PowerShell 开发的实时硬盘取证框架
PSRecon - PSRecon 使用 PowerShell 在远程 Windows 主机上提取/整理数据,并将数据发送到安全团队,数据可以通过邮件来传送数据或者在本地留存
RegRipper - Regripper 是用 Perl 编写的开源工具,可以从注册表中提取/解析数据(键\值\数据)提供分析
TRIAGE-IR - Triage-IR 是一个 Windows 下的 IR 收集工具
文章转载:https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md
推荐一本书籍
《网络安全应急响应技术实战指南》
2019年,奇安信安服团队出版了《应急响应-网络安全的预防、发现、处置和恢复》网络安全应急响应基础知识类科普图书,旨在提高政企机构、监管机构在此方面的组织和能力建设。2020年我们希望借助每年积累的上千起事件处理的经验和实战,帮忙一线安全人员更加快速、更高质量的处理应急事件,撰写了《网络安全应急响应技术实战指南》这本技术类图书。
本书共分为十章,前三章为应急工程师需要掌握的理论和基础技能和工具,分别为网络安全应急响应概述、应急工程师基础技能、应急响应常用工具介绍。后七章内容为当前应急响应工作中最常见的七大处理场景,分别是勒索病毒、挖矿木马、webshell、网页篡改、DDOS攻击、数据泄露和流量劫持。我们希望通过具体的处置场景结合基础技能和工具,让一线应急工程师学会处置思路、掌握基础技能、熟悉应急工具,以便实现快速响应应急事件的安全新要求。本书适合政企机构、安全公司的安全运营人员、应急响应人员和大中专院校网络安全相关的学生和老师阅读。
奇安信安全服务团队介绍
奇安信是北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商,作为中国领先的网络安全品牌,奇安信多次承担国家级的重大活动网络安全保障工作,创建了稳定可靠的网络安全服务体系——全维度管控、全网络防护、全天候运行、全领域覆盖、全兵种协同、全线索闭环。
奇安信安全服务以攻防技术为核心,聚焦威胁检测和响应,通过提供咨询规划、威胁检测、攻防演习、持续响应、预警通告、安全运营等一系列实战化的服务,在云端安全大数据的支撑下,为客户提供全周期的安全保障服务。
应急响应服务致力于成为“网络安全120”。2016年以来,奇安信已具备了丰富的应急响应实践经验,应急响应业务覆盖了全国31个省份,处置政企机构网络安全应急事件超过两千起,累计投入工时25000多个小时,为全国超千家政企机构解决网络安全问题。
推出应急响应训练营服务,将一线积累的丰富应急响应实践经验面向广大政企机构进行网络安全培训和赋能,帮助政企机构的安全管理者、安全运营人员、工程师等不同层级的人群提高网络安全应急响应的能力和技术水平。奇安信正在用专业的技术能力保障着企业用户的网络安全,最大程度的减少了安全事件所带来的经济损失以及恶劣的社会负面影响。
应急响应7*24小时热线电话:4009-727-120
第1章 网络安全应急响应概述
1.1 应急响应基本概念1
1.2 网络安全应急响应基本概念1
1.3 网络安全应急响应的能力与方法3
1.3.1 机构、企业网络安全应急响应应具备的能力3
1.3.2 PDCERF(6阶段)方法4
1.4 网络安全应急响应现场处置流程6
第2章 网络安全应急响应工程师基础技能8
2.1 系统排查8
2.1.1 系统基本信息8
2.1.2 用户信息13
2.1.3 启动项20
2.1.4 任务计划23
2.1.5 其他26
2.2 进程排查28
2.3 服务排查39
2.4 文件痕迹排查41
2.5 日志分析53
2.6 内存分析70
2.7 流量分析77
2.8 威胁情报83
第3章 常用工具介绍86
3.1 SysinternalsSuite86
3.2 PCHunter/火绒剑/PowerTool87
3.3 ProcessMonitor88
3.4 EventLogExplorer88
3.5 FullEventLogView89
3.6 LogParser90
3.7 ThreatHunting90
3.8 WinPrefetchView91
3.9 WifiHistoryView91
3.10 奇安信应急响应工具箱92
第4章 勒索病毒网络安全应急响应95
4.1 勒索病毒概述95
4.1.1 勒索病毒简介95
4.1.2 常见的勒索病毒95
4.1.3 勒索病毒利用的常见漏洞103
4.1.4 勒索病毒的解密方法104
4.1.5 勒索病毒的传播方法105
4.1.6 勒索病毒的攻击特点106
4.1.7 勒索病毒的防御方法107
4.2 常规处置方法110
4.2.1 隔离被感染的服务器/主机110
4.2.2 排查业务系统111
4.2.3 确定勒索病毒种类,进行溯源分析111
4.2.4 恢复数据和业务111
4.2.5 后续防护建议112
4.3 错误处置方法112
4.4 常用工具113
4.4.1 勒索病毒查询工具113
4.4.2 日志分析工具117
4.5 技术操作指南119
4.5.1 初步预判120
4.5.2 临时处置126
4.5.3 系统排查127
4.5.4 日志排查135
4.5.5 网络流量排查139
4.5.6 清除加固139
4.6 典型处置案例140
4.6.1 服务器感染GlobeImposter勒索病毒140
4.6.2 服务器感染Crysis勒索病毒145
第5章 挖矿木马网络安全应急响应150
5.1 挖矿木马概述150
5.1.1 挖矿木马简介150
5.1.2 常见的挖矿木马150
5.1.3 挖矿木马的传播方法153
5.1.4 挖矿木马利用的常见漏洞154
5.2 常规处置方法155
5.2.1 隔离被感染的服务器/主机155
5.2.2 确认挖矿进程156
5.2.3 挖矿木马清除156
5.2.4 挖矿木马防范157
5.3 常用工具158
5.3.1 ProcessExplorer158
5.3.2 PCHunter160
5.4 技术操作指南162
5.4.1 初步预判162
5.4.2 系统排查165
5.4.3 日志排查176
5.4.4 清除加固178
5.5 典型处置案例179
5.5.1 Windows服务器感染挖矿木马179
5.5.2 Linux服务器感染挖矿木马183
第6章 Webshell网络安全应急响应188
6.1 Webshell概述188
6.1.1 Webshell分类188
6.1.2 Webshell用途189
6.1.3 Webshell检测方法190
6.1.4 Webshell防御方法190
6.2 常规处置方法191
6.2.1 入侵时间确定191
6.2.2 Web日志分析192
6.2.3 漏洞分析192
6.2.4 漏洞复现192
6.2.5 漏洞修复193
6.3 常用工具194
6.3.1 扫描工具194
6.3.2 抓包工具195
6.4 技术操作指南195
6.4.1 初步预判196
6.4.2 Webshell排查198
6.4.3 Web日志分析199
6.4.4 系统排查202
6.4.5 日志排查218
6.4.6 网络流量排查221
6.4.7 清除加固223
6.5 典型处置案例224
6.5.1 网站后台登录页面被篡改224
6.5.2 Linux系统网站服务器被植入Webshell229
6.5.3 Windows系统网站服务器被植入Webshell235
第7章 网页篡改网络安全应急响应238
7.1 网页篡改概述238
7.1.1 网页篡改事件分类238
7.1.2 网页篡改原因239
7.1.3 网页篡改攻击手法240
7.1.4 网页篡改检测技术240
7.1.5 网页篡改防御方法241
7.1.6 网页篡改管理制度241
7.2 常规处置方法242
7.2.1 隔离被感染的服务器/主机242
7.2.2 排查业务系统242
7.2.3 确定漏洞源头、溯源分析243
7.2.4 恢复数据和业务243
7.2.5 后续防护建议243
7.3 错误处置方法243
7.4 常用工具244
7.5 技术操作指南244
7.5.1 初步预判244
7.5.2 系统排查245
7.5.3 日志排查247
7.5.4 网络流量排查249
7.5.5 清除加固249
7.6 典型处置案例249
7.6.1 内部系统主页被篡改249
7.6.2 网站首页被植入暗链252
第8章 DDoS攻击网络安全应急响应257
8.1 DDOS攻击概述257
8.1.1 DDoS攻击简介257
8.1.2 DDoS攻击目的257
8.1.3 常见DDoS攻击方法258
8.1.4 DDoS攻击中的一些误区266
8.1.5 DDoS攻击防御方法267
8.2 常规处置方法268
8.2.1 判断DDoS攻击的类型268
8.2.2 采取措施缓解269
8.2.3 溯源分析269
8.2.4 后续防护建议269
8.3 技术操作指南269
8.3.1 初步预判269
8.3.2 问题排查272
8.3.3 临时处置方法272
8.3.4 研判溯源273
8.3.5 清除加固273
8.4 典型处置案例273
第9章 数据泄露网络安全应急响应275
9.1 数据泄露概述275
9.1.1 数据泄露简介275
9.1.2 数据泄露途径275
9.1.3 数据泄露防范277
9.2 常规处置方法277
9.2.1 发现数据泄露277
9.2.2 梳理基本情况278
9.2.3 判断泄露途径278
9.2.4 数据泄露处置278
9.3 常用工具279
9.3.1 Hawkeye279
9.3.2 Sysmon283
9.4 技术操作指南287
9.4.1 初步研判287
9.4.2 确定排查范围和目标288
9.4.3 建立策略289
9.4.4 系统排查290
9.5 典型处置案例291
9.5.1 Web服务器数据泄露291
9.5.2 Web应用系统数据泄露295
第10章 流量劫持网络安全应急响应303
10.1 流量劫持概述303
10.1.1 流量劫持简介303
10.1.2 常见流量劫持303
10.1.3 常见攻击场景311
10.1.4 流量劫持防御方法313
10.2 常规处置方法313