本文旨在帮助安全分析师和DFIR团队更好的完成工作,现整理了一些现在比较流行的安全事件应急响应工具和资源列表。工具集书籍社区磁盘镜像创建工具证据收集应急管理Linux 发行版Linux 证据收集日志分析工具内存分析工具内存镜像工具OSX 证据收集其他工具Playbooks进程 Dump 工具沙盒 / 逆向工具时间线工具视频Windows 证据收集IR 工具收集工具集Belkasoft Evidence Center – 该工具包通过分析硬件驱动、驱动镜像、内存转储、iOS、黑莓与安卓系统备份、UFED、JTAG 与 chip-off 转储来快速从多个源提取数字证据CimSweep – CimSweep 是一套基于 CIM/WMI 的工具,能够在所有版本的 Windows 上执行远程事件响应CIRTkit – CIRTKit 不仅是一个工具集合,更是一个框架,帮助在事件响应与取证调查过程中统一Cyber Triage – Cyber Triage 远程收集\分析终端数据,以帮助确定计算机是否被入侵.其专注易用性与自动化,采用无代理方法使公司在没有重大基础设施\没有取证专家团队的情况下做出响应,其结果用于决定是否应该被擦除或者进行进一步调查Digital Forensics Framework – DFF 是一个建立在专用 API 之上的开源计算机取证框架,DFF 提出了一种替代目前老旧的数字取证解决方案,其设计简单\更加自动化,通过 DFF 接口可以帮助用户进行数字调查取证的主要步骤,专业与非专业人员都可以快速的进行数字取证并执行事件响应Doorman – Doorman 是一个 osquery 的管理平台,可以远程管理节点的 osquery 配置.它利用 osquery 的 TLS 配置\记录器\分布式读写等优势为管理员提供最小开销的管理Envdb – Envdb 将你的生产\开发\云等环境变成数据库集群,你可以使用 osquery 作为基础搜索,它可以和集群中心节点包装 osquery 的查询过程Falcon Orchestrator – Falcon Orchestrator 是由 CrowdStrike 提供的一个基于 Windows 可扩展的应用程序,提供工作流自动化、案例管理与安全应急响应等功能FIDO – Netflix 开发的 Fully Integrated Defense Operation (FIDO) 用于自动化评估\响应恶意软件入侵响应过程,FIDO 的主要目的是协助处理大量的手动工作来评估对安全堆栈的威胁与生成的大量警报GRR Rapid Response – GRR Rapid Response 是一个用来远程现场取证的应急响应框架,其带有一个可以管理客户端的 Python 编写的服务器Kolide – Kolide 是一个无代理的 osquery Web 接口与远程 API 服务器,Kolide 作为 Envdb 替代品的设计理念就是极度便携(仅有一个可执行程序),在保持代码简单的情况下保持性能Limacharlie – 一个终端安全平台,它本身是一个小项目的集合,并提供了一个跨平台的低级环境,你可以管理并推送附加功能进入内存给程序扩展功能MIG – Mozilla Investigator (MIG) 是一个在远程终端执行调查的平台,它可以在大量系统中并行获取数据,从而加速事故调查与保证日常业务安全MozDef – Mozilla Defense Platform (MozDef) 旨在帮助安全事件处理自动化,并促进事件的实时处理nightHawk – nightHawk Response Platform 是一个以 ElasticSearch 为后台的异步取证数据呈现的应用程序,设计与 Redline 配合调查Open Computer Forensics Architecture – Open Computer Forensics Architecture (OCFA) 是另一个分布式开源计算机取证框架,这个框架建立在 Linux 平台上,并使用 postgreSQL 数据库来存储数据Osquery – osquery 可以找到 Linux 与 OSX 基础设施的问题,无论你是要入侵检测还是基础架构可靠性检查 osquery 都能够帮助你提高公司内部的安全组织能力, incident-response pack 可以帮助你进行检测\响应活动Redline – 为用户提供主机调查工具,通过内存与文件分析来找到恶意行为的活动迹象,包括对威胁评估配置文件的开发The Sleuth Kit & Autopsy – Sleuth Kit 是基于 Unix 和 Windows 的工具,可以帮助计算机取证分析,其中包含各种协助取证的工具,比如分析磁盘镜像、文件系统深度分析等TheHive – TheHive 是一个可扩展的三个一开源解决方案,旨在让 SOC、CSIRT、CERT 或其他任何信息安全从业人员方便的进行安全事件调查X-Ways Forensics – X-Ways 是一个用于磁盘克隆、镜像的工具,可以查找已经删除的文件并进行磁盘分析Zentral – 与 osquery 强大的端点清单保护能力相结合,通知与行动都灵活的框架,可以快速对 OS X 与 Linux 客户机上的更改做出识别与响应书籍Dfir intro – 作者:Scott J. RobertsThe Practice of Network Security Monitoring: Understanding Incident Detection and Response – 作者:Richard Bejtlich社区Sans DFIR mailing list – Mailing list by SANS for DFIRSlack DFIR channel – Slack DFIR Communitiy channel – Signup here磁盘镜像创建工具AccessData FTK Imager – AccessData FTK Imager 是一个从任何类型的磁盘中预览可恢复数据的取证工具,FTK Imager 可以在 32\64 位系统上实时采集内存与页面文件GetData Forensic Imager – GetData Forensic Imager 是一个基于 Windows 程序,将常见的文件格式进行获取\转换\验证取证Guymager – Guymager 是一个用于 Linux 上媒体采集的免费镜像取证器Magnet ACQUIRE – Magnet Forensics 开发的 ACQUIRE 可以在不同类型的磁盘上执行取证,包括 Windows\Linux\OS X 与移动操作系统证据收集bulk_extractor – bulk_extractor 是一个计算机取证工具,可以扫描磁盘映像、文件、文件目录,并在不解析文件系统或文件系统结构的情况下提取有用的信息,由于其忽略了文件系统结构,程序在速度和深入程度上都有了很大的提高Cold Disk Quick Response – 使用精简的解析器列表来快速分析取证镜像文件(dd, E01, .vmdk, etc)并输出报告ir-rescue – ir-rescue 是一个 Windows 批处理脚本与一个 Unix Bash 脚本,用于在事件响应期在主机全面收集证据Live Response Collection – BriMor 开发的 Live Response collection 是一个用于从各种操作系统中收集易失性数据的自动化工具应急管理FIR – Fast Incident Response (FIR) 是一个网络安全应急管理平台,在设计时考虑了敏捷性与速度。其可以轻松创建、跟踪、报告网络安全应急事件并用于 CSIRT、CERT 与 SOC 等人员RTIR – Request Tracker for Incident Response (RTIR) 对于安全团队来说是首要的开源应急处理系统,其与世界各地的十多个 CERT 与 CSIRT 合作,帮助处理不断增加的事件报告,RTIR 包含 Request Tracker 的全部功能SCOT – Sandia Cyber Omni Tracker (SCOT) 是一个应急响应协作与知识获取工具,为事件响应的过程在不给用户带来负担的情况下增加价值threat_note – 一个轻量级的调查笔记,允许安全研究人员注册、检索他们需要的 IOC 数据Linux 发行版ADIA – Appliance for Digital Investigation and Analysis (ADIA) 是一个基于 VMware 的应用程序,用于进行数字取证.其完全由公开软件构建,包含的工具有 Autopsy\Sleuth Kit\Digital Forensics Framework\log2timeline\Xplico\Wireshark 大多数系统维护使用 Webmin.可在各种系统下进行使用CAINE – Computer Aided Investigative Environment (CAINE) 包含许多帮助调查人员进行分析的工具,包括取证工具DEFT – Digital Evidence & Forensics Toolkit (DEFT) 是一个用于计算机取证的 Linux 发行版,它与 Windows 上的 Digital Advanced Response Toolkit (DART) 捆绑在一起.DEFT 的轻量版被成为 DEFT ZeroNST – Network Security Toolkit – 包括大量的优秀开源网络安全应用程序的 Linux 发行版PALADIN – PALADIN 是一个附带许多开源取证工具的改 Linux 发行版,用于在法庭上以正确的方式执行取证任务Security Onion – Security Onion 是一个特殊的 Linux 发行版,旨在利用高级的分析工具进行网络安全监控SIFT Workstation – SANS Investigative Forensic Toolkit (SIFT) 使用优秀开源工具以实现高级事件响应与入侵深度数字取证,这些功能免费提供,并且经常更新Linux 证据收集FastIR Collector Linux – FastIR 在 Linux 系统上收集不同的信息并将结果存入 CSV 文件日志分析工具Lorg – 一个用 HTTPD 日志进行高级安全分析与取证的工具内存分析工具Evolve – Volatility 内存取证框架的 Web 界面inVtero.net – 支持 hypervisor 的 Windows x64 高级内存分析KnTList – 计算机内存分析工具LiME – LiME 是 Loadable Kernel Module (LKM),可以从 Linux 以及基于 Linux 的设备采集易失性内存数据Memoryze – 由 Mandiant 开发的 Memoryze 是一个免费的内存取证软件,可以帮助应急响应人员在内存中定位恶意部位, Memoryze 也可以分析内存镜像或者装成带有许多分析插件的系统Memoryze for Mac – Memoryze for Mac 是 Memoryze 但仅限于 Mac,且功能较少Rekall – 用于从 RAM 中提取样本的开源工具Responder PRO – Responder PRO 是一个工业级的物理内存及自动化恶意软件分析解决方案Volatility – 高级内存取证框架VolatilityBot – VolatilityBot 是一个自动化工具,帮助研究员减少在二进制程序提取解析阶段的手动任务,或者帮助研究人员进行内存分析调查的第一步WindowsSCOPE – 一个用来分析易失性内存的取证与逆向工程工具,被用于对恶意软件进行逆向分析,提供了分析 Windows 内核\驱动程序\DLL\虚拟与物理内存的功能内存镜像工具Belkasoft Live RAM Capturer – 轻量级取证工具,即使有反调试\反转储的系统保护下也可以方便地提取全部易失性内存的内容Linux Memory Grabber – 用于 dump Linux 内存并创建 Volatility 配置文件的脚本Magnet RAM Capture – Magnet RAM Capture 是一个免费的镜像工具,可以捕获可疑计算机中的物理内存,支持最新版的 WindowsOSForensics – OSForensics 可以获取 32/64 位系统的实时内存,可以将每个独立进程的内存空间 dump 下来OSX 证据收集Knockknock – 显示那些在 OSX 上被设置为自动执行的那些脚本、命令、程序等OSX Auditor – OSX Auditor 是一个面向 Mac OS X 的免费计算机取证工具OSX Collector – OSX Auditor 的实时响应版其他工具Cortex – Cortex 可以通过 Web 界面逐个或批量对 IP 地址\邮件地址\URL\域名\文件哈希的分析,还可以使用 REST API 来自动执行这些操作Crits – 一个将分析引擎与网络威胁数据库相结合且带有 Web 界面的工具Fenrir – Fenrir 是一个简单的 IOC 扫描器,可以在纯 bash 中扫描任意 Linux/Unix/OSX 系统,由 THOR 与 LOKI 的开发者创作Fileintel – 为每个文件哈希值提供情报Hindsight – Google Chrome/Chromium 的互联网Hostintel – 为每个主机提供情报Kansa – Kansa 是一个 PowerShell 的模块化应急响应框架rastrea2r – 使用 YARA 在 Windows、Linux 与 OS X 上扫描硬盘或内存RaQet – RaQet 是一个非常规的远程采集与分类工具,允许对那些为取证构建的操作系统进行远端计算机的遴选Stalk – 收集关于 MySQL 的取证数据SearchGiant – 从云服务中获取取证数据的命令行程序Stenographer – Stenographer 是一个数据包捕获解决方案,旨在快速将全部数据包转储到磁盘中,然后提供对这些数据包的快速访问.它存储尽可能多的历史记录并且管理磁盘的使用情况,在磁盘受限被触发时执行既定策略,非常适合在事件发生前与发生中捕获流量,而不是显式存储所有流量traceroute-circl – 由 Computer Emergency Responce Center Luxembourg 开发的 traceroute-circl 是一个增强型的 traceroute 来帮助 CSIRT\CERT 的工作人员,通常 CSIRT 团队必须根据收到的 IP 地址处理事件X-Ray 2.0 – 一个用来向反病毒厂商提供样本的 Windows 实用工具(几乎不再维护)PlaybooksDemisto Playbooks Collection – Playbook 收集IR Workflow Gallery – 不同的通用事件响应工作流程,例如恶意软件爆发\数据窃取\未经授权的访问等,每个工作流程都有七个步骤:准备\检测\分析\遏制\根除\恢复\事后处理PagerDuty Incident Response Documentation – 描述 PagerDuty 应急响应过程的文档,不仅提供了关于事件准备的信息,还提供了在此前与之后要做什么工作,源在 GitHub 上进程 Dump 工具Microsoft User Mode Process Dumper – 用户模式下的进程 dump 工具,可以 dump 任意正在运行的 Win32 进程内存映像PMDump – PMDump 是一个可以在不停止进程的情况下将进程的内存内容 dump 到文件中的工具沙盒/逆向工具Cuckoo – 开源沙盒工具Cuckoo-modified – 社区基于 Cuckoo 的大修版Cuckoo-modified-api – 一个用来控制 Cuckoo 沙盒设置的 Python 库Hybrid-Analysis – Hybrid-Analysis 是一个由 Payload Security 提供的免费在线沙盒Malwr – Malwr 是由 Cuckoo 沙盒提供支持的一个免费在线恶意软件分析服务Mastiff – MASTIFF 是一个静态分析框架,可以自动化的从多种文件格式中提取关键特征Viper – Viper 是一个基于 Python 的二进制程序分析及管理框架,支持 Cuckoo 与 YARAVirustotal – Virustotal, Google 的子公司,一个免费在线分析文件/URL的厂商,可以分析病毒\蠕虫\木马以及其他类型被反病毒引擎或网站扫描器识别的恶意内容Visualize_Logs – Cuckoo、Procmon等日志的开源可视化库时间线工具Highlighter – Fire/Mandiant 开发的免费工具,用来分析日志/文本文件,可以对某些关键字或短语进行高亮显示,有助于时间线的整理Plaso – 一个基于 Python 用于 log2timeline 的后端引擎Timesketch – 协作取证时间线分析的开源工具视频Demisto IR video resources – 应急响应与取证分析的视频资源The Future of Incident Response – Bruce Schneier 在 OWASP AppSecUSA 2015 上的分享Windows 证据收集AChoir – Achoir 是一个将对 Windows 的实时采集工具脚本化变得更标准与简单的框架Binaryforay – 一个 Windows 取证的免费工具列表 (http://binaryforay.blogspot.co.il/)Crowd Response – 由 CrowdStrike 开发的 Crowd Response 是一个轻量级 Windows 终端应用,旨在收集用于应急响应与安全操作的系统信息,其包含许多模块与输出格式FastIR Collector – FastIR Collector 在 Windows 系统中实时收集各种信息并将结果记录在 CSV 文件中,通过对这些信息的分析,我们可以发现早期的入侵痕迹FECT – Fast Evidence Collector Toolkit (FECT) 是一个轻量级的应急响应工具集,用于在可疑的 Windows 计算机上取证,它可以让非技术调查人员更专业的进行应急处理Fibratus – 利用与跟踪 Windows 内核的工具IOC Finder – IOC Finder 是由 Mandiant 开发的免费工具,用来收集主机数据并报告存在危险的 IOCFidelis ThreatScanner – Fidelis ThreatScanner 是一个由 Fidelis Cybersecurity 开发的免费工具,使用 OpenIOC 和 YARA 来报告终端设备的安全状态,ThreatScanner 衡量系统的运行状态后会出具匹配情况的报告,仅限 WindowsLOKI – Loki 是一个使用 YARA 与其他 IOC 对终端进行扫描的免费 IR 扫描器PowerForensics – PowerShell 开发的实时硬盘取证框架PSRecon – PSRecon 使用 PowerShell 在远程 Windows 主机上提取/整理数据,并将数据发送到安全团队,数据可以通过邮件来传送数据或者在本地留存RegRipper – Regripper 是用 Perl 编写的开源工具,可以从注册表中提取/解析数据(键\值\数据)提供分析TRIAGE-IR – Triage-IR 是一个 Windows 下的 IR 收集工具参考资料1. https://github.com/sindresorhus/awesome2. http://www.freebuf.com/sectool/135564.htm