А АMonday, 10 December 2018

Дистрибутивы для Forensics анализа.

Всем привет.

В марте 2013-го я выложил в свободный доступ свое творение "Компьютерный инцидент – от теории к практике. CLI Forensic Toolkit." Разумеется за это время такая наука как форензика не утратила своей актуальности. Более того, ее применение стало еще шире. 

И вот я вычитывая очередной пост по этой теме решил восполнить пробел в моей книге. А именно пробел по софтверной лаборатории для специалиста по форензике. Потому как уже не всегда можно получить добро с очередным ЧП на "нам некогда, все носим и ставим по новой". Нужно все чаще разбираться кто же на самом деле напартачил - софт или человек, с умыслом или без.

Для анализа и сбора артефактов вам будет нужна специальная лаборатория. Мы будем акцентироваться только на программную составляющую экспертизы поэтому нам в качестве основы вполне хватит пула из нескольких виртуальных машин и специализированных дистрибутивов с необходимым софтом. Гипервизор 2-го уровня для виртуалки можно выбрать на свой вкус - это может быть бесплатный VirtualBox или VMware.

Можно предпочесть сборку Kali Linux, DEFT или Remnux. CAINE и Parrot OS тоже достойны внимания, не говоря уже о платных Encase и SMART Linux. А теперь чуть подробнее.

Kali Linux

Разработанный и финансируемый компанией Offensive Security Ltd., дистрибутив Kali Linux является одной из лучших и любимых операционных систем хакеров. Kali Linux - это дистрибутив Linux на базе Debian, предназначенный для расширенного тестирования безопасности и аудита уязвимостей. Он содержит несколько сотен инструментов, предназначенных для решения различных задач информационной безопасности, таких как тестирование на проникновение, исследование безопасности, компьютерная криминалистика. И да, это тот самый Linux который использовал Elliot в сериале «Mr. Robot».

Kali Linux - это проект с открытым исходным кодом, который можно установить на свой ПК. Тем не менее, общая концепция заключается в том, чтобы использовать систему как Live CD (USB), запускать всевозможные пробы, тесты и исследования сетевых целей. Он предназначен как для Windows, так и для Linux-ориентированных инструментов. Он также поддерживает установку беспроводного соединения, настройки MANA Evil Access Point, клавиатуру HID (такие как Teensy), а также Bad USB MITM.


Кроме того, Kali Linux постоянно обновляет свои репозитории, и доступен для разных платформ, таких как VMWare, ARM и многие другие. В Kali предварительно установлены лучшие программные инструменты безопасности. Здесь присутствуют: Hydra (взломщик входа в систему), Nmap (анализатор портов), Wireshark (анализатор пакетов данных), John the Ripper (инструмент для взлома паролей) и Metasploit Framework (средство разработки эксплойтов). Также имеются другие инструменты, которые делают его отличным от других операционных систем.


Parrot Security

Parrot Security - это дистрибутив GNU Linux, основанный на Debian и сфокусированный на компьютерной безопасности. Это еще одна любимая операционная система хакеров. Она предназначена для тестирования проникновения (компьютерной безопасности), оценки уязвимости и смягчения последствий взлома, компьютерной криминалистики, анонимного просмотра веб-страниц.

Parrot использует репозитории Kali, чтобы получать последние обновления практически для всех хакерских инструментов, но также имеет собственный выделенный репозиторий, в котором хранятся все пользовательские пакеты. Вот почему этот дистрибутив — это не просто простой «мод» Kali, а целая новая концепция, которая опирается на репозитории Kali Linux. Таким образом, он вводит множество новых функций и различные варианты разработки. В Parrot используется MATE в качестве рабочей среды. Легкий и мощный интерфейс основан на знаменитом GNOME 2 и благодаря настраиваемым очаровательным значкам FrozenBox, специальным темам и обоям, имеет очень презентабельный вид.

Проект сертифицирован для работы на машинах с 256 Мбайт оперативной памяти и подходит как для 32-разрядных (i386), так и для 64-битных (amd64). Существует специальная версия, которая работает на старых 32-битных машинах (486). Кроме того, проект доступен для armel и armhf архитектур. Он даже предлагает издание (как 32-битное, так и 64-битное), разработанное для серверов облачного типа.


BackBox


BackBox - это ещё одна операционная система тестирующая на возможность взлома и дающая оценку безопасности. Создатели основывают свой проект на Ubuntu. Здесь предоставлен набор инструментов для анализа сетевых и информационных систем. Окружающая среда BackBox включает полный набор инструментов, необходимых для проверочного взлома и тестирования безопасности.

BackBox - это легкая ОС и требует меньше аппаратной спецификации. Основной целью BackBox является предоставление альтернативной, высоко настраиваемой и хорошо работающей системы. Она использует среду рабочего стола, основанную на облегченном диспетчере окон Xfce, что делает ее стандартной и простой в использовании. Также включает в себя некоторые из наиболее часто используемых инструментов безопасности и анализа, предназначенные для широких целей, от анализа веб-приложений до анализа сети, от стресс-тестов до сниффинга. Включает в себя оценку уязвимостей, компьютерный криминалистический анализ.

У BackBox есть свои собственные репозитории программного обеспечения, которые всегда обновляются до последней стабильной версии наиболее используемых и наиболее известных хакерских инструментов. Интеграция и разработка новых инструментов с открытым исходным кодом в дистрибутиве следует за сообществом. В частности за критериями руководства для разработчиков программного обеспечения Debian.


DEFT

DEFT (Digital Evidence and Forensic Toolkit) - это дистрибутив Linux с открытым исходным кодом, созданный на основе программного обеспечения DART (Digital Advanced Response Toolkit). Это дистрибутив, предназначен для компьютерной криминалистики. Его запуск происходит вживую на системах без вмешательства или искажения устройств (жестких дисков, флешек и т. д.), подключенных к ПК, на котором происходит процесс загрузки. Он оснащён лучшими бесплатными приложениями с открытым исходным кодом. Всё это предназначено для реагирования на различного рода инциденты, кибер-разведки, компьютерной криминалистики, а также для использования военными, правоохранительными органами, частными специалистами в области безопасности и IT-аудиторами.


Live Hacking DVD

Live Hacking DVD - это дистрибутив Linux, наполненный инструментами и утилитами для взлома, тестирования проникновения и принятия контрмер. Основанный на Ubuntu, этот «Live DVD» запускается прямо с DVD-диска и не требует установки на вашем жестком диске. После загрузки вы можете использовать прилагаемые инструменты для проверки, взлома и выполнения тестов на проникновение в свою собственную сеть, чтобы обеспечить их защиту от внешних злоумышленников.

Дистрибутив имеет две формы для работы. Первая — это полный рабочий стол Linux, включая графический пользовательский интерфейс (GNOME) и приложения, такие как Firefox. Наряду со всем имеются инструменты и утилиты для перечисления DNS, разведки, взлома паролей и сетевого прослушивания. Для большей доступности есть меню Live Hacking, которое поможет вам быстро найти и запустить необходимые программы.

Второй вариант — это компакт-диск Live Hacking Mini CD, в котором работа происходит только в командной строке. Однако это не умаляет возможности используемых инструментов и утилит, поскольку в большинстве тестирующих программ и хакерских инструментах работа ведётся в командной строке. Входящий каталог /lh имеет символические ссылки на различные инструменты. Все это совершенно не требует высоких мощностей от оборудования.

Например, достаточно Pentium 3 или любого процессора класса Pentium 4 (или больше). Для настольной версии требуется 512 МБ памяти с рекомендованным 1 ГБ. Кроме того, для версии c командной строкой требуется только 128 МБ памяти.


И напоследок несколько интересных подходов к форензике, но заброшенных на сегодня проектов.

COFEE (Computer Online Forensic Evidence Extractor)

Набор утилит, который был популярен в National White Collar Crime Center (NW3C), для сбора доказательств с компьютеров под управлением Windows XP и более младших версий. Разработан старшим следователем MS Internet Safety Enforcement Team Энтони Фангом (Anthony Fung). В 2008–2009 годах Microsoft раздавала его на флешках сотрудникам Интерпола и всем ИТ-экспертам, которые участвовали в задержании предполагаемых преступников. COFEE ускорял сбор цифровых вещдоков, включая пароли, историю браузера, содержимое папок пользователя и детальное описание системы. Порой это избавляло от необходимости физически изымать компьютеры. Сейчас его убрали с сайта Microsoft, но он есть на торрентах.

Сам дистрибутив не содержит ничего специфического за исключением скрипта оформления процедуры сбора данных. Это просто набор известных утилит (autoruns, netstat, ipconfig, pslist и прочие) в единой оболочке.


WinFE (Windows Forensic Environment)

Windows Forensic Environment, also known as WinFE or Windows FE, was originally developed by Troy Larson, Senior Forensic Manager, Microsoft Corporation, by simply adding two registry keys to the Windows Vista Pre-installation Environment 2.0 (WinPE 2.0).  These keys prevented the auto-mounting of some of the volumes at boot time, which then allowed the creation of a rudimentary Microsoft Windows based forensic boot CD/DVD or USB Device.

Проект WinFE (Windows Forensic Environment) - смелая попытка заниматься офлайновым анализом под Windows. Впрочем, проект забросили в 2012 году. Сейчас для Live Forensic виндовых машин удобнее использовать наборы от NirSoft и Sysinternals, а офлайновый анализ и вовсе выполнять в среде Linux.


No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное