А АFriday 15 December 2017

Бесплатные инструменты расследования инцидентов информационной безопасности.

Всем привет.
Тема информационной безопасности всегда актуальна. По роду текущих занятий имею меньше отношение  к этой теме чем раньше. Но приобретенный опыт помогает мне быстрее решать неожиданные проблемы. Большое значение имеют те инструменты которые всегда под рукой. Среди них бесплатные инструменты всегда могут быть полезны. Главное выбрать и протестировать их для себя заранее. Сегодняшний обзор вам в помощь.

Программные средства - лучшие друзья системного администратора, а использование подходящего инструмента поможет быстрее и продуктивнее работать. Расследование инцидентов - задача не из простых, ведь нужно собрать как можно больше информации, чтобы заручиться доказательствами и разработать план ликвидации последствий.

Тем не менее для столь важного дела существуют полезные, и  в тоже время бесплатные, инструменты. Оригинал экспресс-обзора находится здесь.

1. Autopsy
Autopsy - программа с открытым исходным кодом и графическим интерфейсом для эффективного криминалистического исследования жестких дисков и смартфонов. Тысячи людей пользуются Autopsy, чтобы разобраться в том, что же действительно случилось с компьютером.



Специалисты крупных компаний и военные широко применяют Autopsy в работе. Ниже некоторые из функций Autopsy:
•анализ электронных писем;
•определение типа файла;
•воспроизведение мультимедиа;
•анализ реестра;
•восстановление фотографий с карты памяти;
•извлечение информации о геолокации и фотоаппарате из JPEG-файлов;
•извлечение данных о сетевой активности из браузера;
•отображение системных событий в графическом интерфейсе;
•хронологический анализ;
•извлечение данных из устройств на Android: SMS, журнал звонков, контакты, и т.д.
С помощью инструмента можно генерировать отчеты в форматах HTML и XLS.


2. Encrypted Disk Detector
Encrypted Disk Detector может помочь провести анализ зашифрованных жестких дисков. Программа работает с разделами, зашифрованными при помощи TrueCrypt, PGP, Bitlocker, Safeboot.


3. Wireshark
Wireshark — это инструмент захвата и анализа сетевых пакетов, который поможет наблюдать за происходящим в вашей сети. Wireshark пригодится при расследовании сетевого инцидента.

4. Magnet RAM Capture
Magnet RAM capture позволяет получить снимок оперативной памяти и проанализировать артефакты в памяти. Программа работает с ОС Windows.


5. Network Miner
Этот интересный инструмент сетевого криминалистического анализа для Windows, Linux и MAC OS X позволяет определить операционную систему, имя хоста, обнаружить сессии и открытые порты с помощью анализатора трафика или PCAP-файла. Network Miner отображает извлеченные артефакты в интуитивно понятном интерфейсе.



6. NMAP
NMAP (Network Mapper) — это один из самых популярных инструментов для аудита сетевой и информационной безопасности. NMAP совместим с большинством операционных систем, в том числе Windows, Linux, Solaris, MAC OS, HP-UX и т.д. Программа с открытым исходным кодом, так что она бесплатна.


7. RAM Capturer
RAM Capturer by Belkasoft — это бесплатный инструмент для создания дампа данных энергозависимой памяти компьютера. Программа совместима с Windows. Дамп памяти может содержать находящиеся на зашифрованных томах пароли и данные для входа в электронную почту или социальные сети.


8. Forensic Investigator
Если вы используете Splunk, то Forensic Investigator вам пригодится. Это приложение для Splunk выполняет множество функций:
•запросы WHOIS/GeoIP;
•Ping;
•сканер портов;
•сборщик заголовков;
•анализатор/декодировщик URL;
•XOR/HEX/Base64 конвертер;
•просмотр SMB Share/NetBIOS;
•проверка Virus Total.


9. FAW
FAW (Forensics Acquisition of Websites) используется для сбора данных о веб-странице в целях дальнейшего исследования. В инструменте реализовано следующее:
•сохранение страницы частично или полностью;
•сохранение всех видов изображений;
•сохранение исходного HTML кода веб-страницы;
•работа с Wireshark.


10. HashMyFiles
HashMyFiles поможет вам вычислить хеши MD5 и SHA1. Инструмент работает почти на всех последних версиях Windows.


11. Crowd Response
Response от Crowd Strike — это приложение для Windows, предназначенное для сбора системной информации в целях реагирования на инцидент и повышения уровня безопасности. Результаты можно представить в форматах XML, CSV, TSV или HTML с помощью CRConvert. Программа работает на всех 32- и 64-разрядных версиях Windows начиная с XP.
У Crowd Strike есть и другие неплохие инструменты для проведения расследования:
•Tortilla позволяет анонимно маршрутизировать TCP/IP и DNS трафик через TOR;
•Shellshock Scanner – проверьте сеть на наличие shellshock уязвимостей;
•Heartbleed scanner – проверьте сеть на наличие heartbleed уязвимости в OpenSSL.


12. NFI Defraser
Defraser — это инструмент для исследований, который может вам помочь в обнаружении файлов мультимедиа или их фрагментов в информационном потоке.


13. ExifTool
С помощью ExifTool можно считывать, записывать и редактировать метаданные разных видов файлов, в том числе EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, Photoshop IRB, FlashPix, и т.д.


14. Toolsley
Toolsley предлагает более десятка полезных инструментов расследования:
•верификация цифровой подписи файлов;
•идентификация формата файла;
•хеширование и проверка файлов;
•инспектор бинарных файлов;
•шифрование текста;
•генератор URI данных;
•генератор паролей.


15.SIFT
SIFT (SANS investigative forensic toolkit) — рабочая станция, свободно доступная для Ubuntu
14.04 SIFT — это набор полезных инструментов анализа и одна из наиболее популярных платформ реагирования на инциденты с открытым исходным кодом.


16. Dumpzilla
Извлекайте всю интересующую вас информацию из браузеров Firefox, Iceweasel и Seamonkey при помощи Dumpzilla.


17. Browser History
У Foxton есть два интересных инструмента:
1.Сохранение истории браузера (Chrome, Firefox, IE и Edge) для Windows;
2.Просмотр истории браузера. Можно извлечь и проанализировать историю действий в большинстве современных браузеров. Результаты отображаются на интерактивном графике, а данные за прошлые периоды можно отфильтровать.

Замечу что не менее полезную утилиту по чтению кеша web-браузера предлагает и NirSoft. Есть такая утилита и в моем наборе Nyukers Network Suite.


18. ForensicUserInfo
Воспользовавшись ForensicUserInfo вы сможете извлечь следующую информацию:
•RID;
•LM/NT хеш;
•смена пароля, срок действия учетной записи;
•количество входов в системы, даты неудачных попыток;
•группы;
•путь к профилю.


19. Back Track
Backtrack — это одна из самых популярных платформ для проверки уязвимости, но в ней реализованы и функции криминалистического анализа.


20. Paladin
PALADIN Forensic Suite — самый популярный набор криминалистических инструментов для Linux в мире, представляющий собой модифицированный дистрибутив Linux, основанный на Ubuntu и доступный в 32- и 64-разрядной версиях. В Paladin входит более 100 инструментов, которые сгруппированы в 29 категорий. Это почти все, что вам нужно, чтобы расследовать инцидент. Autospy входит в последнюю версию — Paladin 6.


21. Sleuth Kit
The Sleuth Kit — это набор инструментов командной строки, предназначенных для изучения и анализа логических дисков и файловых систем, чтобы найти данных.


22. CAINE
CAINE (Computer Aided Investigate Environment) — это дистрибутив Linux, который предлагает полноценную экспертную платформу с более чем 80 инструментами для анализа, исследования и формирования отчетов о действиях.




В его состав включены такие средства, как GtkHash, Air, SSdeep, HDSentinel (Hard Disk Sentinel), Bulk Extractor, Fiwalk, ByteInvestigator, Automated Image & Restore (AIR), Autopsy, Foremost, Scalpel, Sleuthkit, Guymager, DC3DD. Отдельно стоит отметить специально разработанную в рамках проекта систему WinTaylor для досконального анализа Windows-систем и генерации подробных отчетов о всех зафиксированных аномалиях.


Надеюсь, что вышеуказанные инструменты помогут вам справиться с инцидентом, ускорить расследование и поимку "плохого мальчика".


Увидимся.

No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное