Dshell (https://github.com/USArmyResearchLab/Dshell) - расширяемая среда для криминалистического анализа сетевого трафика. Позволяет быстро разрабатывать плагины анализа захваченных сетевых пакетов.

Ключевые особенности:

- Глубокий анализ пакетов с помощью специализированных плагинов
- Поддержка IPv4 и IPv6
- Пользовательские обработчики вывода
- Гибко настраиваемые плагины
- Отображение DNS-запросов в трафике
- Отслеживание и повторная сборка потока
- Сбор данных TFTP
- Конвертирование вывода в JSON-формат
- Возможность запуска плагинов в отдельном скрипте Python
- Интеграция с elasticsearch

#рекомендации

Бложег нашего друга @iTuneDVR - исследователя в области систем видеонаблюдения [t.me/iTuneDVR_News] все про уязвимости видеокамер, видеорегистраторов и много чего еще. Местами сумбурно, но и интересного с полезным много.

Datashare [https://datashare.icij.org/] - это бесплатное настольное приложение с открытым исходным кодом, которое позволяет повысить эффективность анализа информации, представленной в разных форматах.

Приложение позволяет :

- индексировать и сохранять ваши документы в базе данных, ставить теги на документы
- искать PDF-файлы, изображения, тексты, электронные таблицы, слайды и любые файлы одновременно, а также осуществлять поиск по содержимому
- фильтровать документы по различным параметрам, операторам и регулярным выражениям
- производить автоматическое обнаружение людей, организаций и местоположений
- умеет алгоритмы обработки естественного языка, пакетный поиск
- устанавливать плагины и расширения
- использовать приложение в качестве сервера для обмена документами между несколькими пользователями
(https://github.com/ICIJ/datashare/wiki/Datashare-Server-Mode)

Полное описание свежей крутой уязвимости LANtenna - позволяющая осуществлять перехват информации удаленно даже на изолированном компьютере ( без различных беспроводных интерфейсов) при помощи простого RTL SDR радиоприемника за 15 баксов.

Свежие уязвимости обхода аутентификации в устройствах видеонаблюдения Dahua: CVE-2021-33044, CVE-2021-33045. [https://seclists.org/fulldisclosure/2021/Oct/13]

Затрагивается обширный список камер и прошивок - https://www.dahuasecurity.com/support/cybersecurity/details/957

PoC - https://github.com/mcw0/DahuaConsole
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в образовательных целях на собственный страх и риск.

TrackerControl [https://github.com/OxfordHCC/tracker-control-android] - приложение для Android, которое позволяет пользователям отслеживать и контролировать сбор данных в мобильных приложениях о поведении пользователей.

Обеспечивает:
- мониторинг отслеживания приложений в режиме реального времени, включая компании назначения и страны
- детальную блокировку отслеживания приложений
- получить запросы данных в один клик
- настроить блокировку рекламы с использованием общедоступных файлов хоста.

OSINT-SAN Framework [https://osintsan.ru/] - linux фреймворк, позволяющий быстро находить информацию и деанонимизировать пользователей сети интернет, используя 30 функций для поиска информации.

Основные возможности PRO-версии:
- Поиск информации о домене и ip
- Деанонимизатор телеграмм
(https://news.1rj.ru/str/osint_san_framework/374).
- Сбор данных о номере со всех баз данных СНГ.
- Деанонимизация геолокации, и доступ к камере при помощи ссылки. (https://news.1rj.ru/str/osint_san_framework/348).
- Большая OSINT Wikipedia.
- Сбор данных о email.
- Быстрый сканер по локальным db, до 2-4 тб.
- Сбор технических данных.
- Подключено большое число баз данных.
- Часть функций выводит и сохраняет в виде графов.
(https://news.1rj.ru/str/osint_san_framework/410)

Ожидаем версию под termux и веб версию.
Больше информации - https://news.1rj.ru/str/osint_san_framework

Имеет бесплатную
(https://github.com/Bafomet666/OSINT-SAN) и PRO версии.
-------------------
Чтите уголовный кодекс. Материал представлен сугубо в исследовательских целях.

Viper [https://github.com/FunnyWolf/Viper] - это графический инструмент для тестирования на проникновение в корпоративную сеть, который применяет обычно используемые тактики и технологии. Помогает Red Team инженерам повысить эффективность атак, упростить работу и снизить технический порог.

- реализует основные функции, такие как обход антивирусного ПО, туннелирование подключения к внутренней сети, управление файлами, эксплуатация командной строки и т.д.
- интегрировано 80+ модулей, охватывающих матрицу MITRE Att&CK: разработку ресурсов / первичный доступ / исполне­ние / закрепление / эскалацию привилегий / обход защиты / доступ к учетным данным / управление / боковое перемещение / сбор и другие категории.
- поддерживает запуск msfconsole в браузере и совместную работу нескольких человек.

#OSINT #Monitoring Сегодня я расскажу о том, как наладить пассивный мониторинг юридического лица. Такой мониторинг проводят службы безопасности (хмм... проводят ли?), использующие методы OSINT в своей повседневной деятельности. Итак, регистрируй отдельную почту на gmail и поехали:

├nalog (изменения в ЕГРЮЛ)
├arbitr (арбитражные суды)
├fssp (исполнительные производства)
├fedresurs (существенные факты)
├alerts (упоминания в СМИ)
├followthatpage (изменения на сайте)
├nel (комплексный мониторинг)
└zachestnyibiznes (комплексный мониторинг)

@tomhunter

Scrummage [https://github.com/matamorphosis/Scrummage] - это OSINT-инструмент, который централизует поисковую функциональность мощных, но простых OSINT-сайтов.

Некоторые из множества доступных плагинов Scrummage:
-Поиск по блокчейну,
-Доменный фаззер,
-Поиск в Instagram, Твиттере, сети Ahmia Darkweb, Threat Crowd, Яндексе и Навигаторе, Вконтакте, YouTube,
-Поиск в стеке IP - адресов.
Полный список плагинов - https://github.com/matamorphosis/Scrummage/wiki/The-Long-List-of-Tasks

Веб-приложение предоставляет пользователям возможность управлять большими пулами результатов и масштабировать проект.
Состав приложения:
- дашборд (визуализирует результаты запросов),
- лог событий (мониторинг использования приложения),
- задачи (форма создания поисковых запросов),
- результаты (отображаются результаты, созданные задачей, в виде метаданных результата),
- настройка аккаунтов, ведь приложение создано для работы команды!

Имеет собственное API, что открывает большие горизонты для интеграции в рабочие процессы!

Расширение для Хрома позволяющее обойти пароль авторизации на ip видеокамерах Dahua основываясь на уязвимостях CVE-2021-33044 и CVE-2021-33045 [github.com/bp2008/DahuaLoginBypass] Ну и как обычно - исключительно в исследовательских целях! И обновите уже прошивки на своих какмерах наблюдения в конце концов :)

Приказ Министерства труда и социальной защиты Российской Федерации от 09.07.2021 № 462н "Об утверждении профессионального стандарта "Специалист по моделированию, сбору и анализу данных цифрового следа"
(Зарегистрирован 30.07.2021 № 64502)

exif-gps-tracer [https://github.com/AidenPearce369/exif-gps-tracer] - простой скрипт на python, который позволяет анализировать данные геолокации из файлов изображений, хранящихся в указанной папке. Производит вывод координат с меткой времени в CSV-файл, а также в HTML-файл GoogleMap. Это позволяет пользователю, например, эффективно идентифицировать передвижения цели, а также сэкономить время, которое бы потратилось на обработку большого набора файлов. Как вы понимаете, работает с exif-данными изображенний.

Gophish [ getgophish.com ]- это простой и в то же время мощный фишинговый инструмент с открытым исходным кодом, который будет отличным подспорьем в антифишиноговых учениях в вашей компании.

• Великолепный веб-интерфейс. Импортируйте существующие веб-сайты и электронные письма, включите отслеживание открытых сообщений электронной почты и многое другое одним щелчком мыши.
• Устанавливается в один клик на windows/Linux/MacOS
• Отслеживание результатов в реальном времени. Используя пользовательский интерфейс, вы можете просматривать временную шкалу для каждого получателя, отслеживать открытия электронной почты, клики по ссылкам, отправленные учетные данные и многое другое.

Репозиторий: github.com/gophish/gophish

Andriller CE [github.com/den4uk/andriller]- криминалистический фреймворк с коллекцией инструментов для извлечения данных из смартфонов.

Возможности:
• Автоматизированное извлечение и декодирование данных
• Извлечение данных с root правами: корневой демон ADB, режим восстановления CWM
• Анализ и декодирование данных структуры папок и файлов резервного копирования Android (файлы backup.ab)
• Выбор отдельных декодеров баз данных для приложений Android
• Расшифровка зашифрованных архивных баз данных WhatsApp (для .crypt в .crypt12 нужно иметь иметь файл ключа)
• Обход экрана блокировки рисунка, PIN-кода, пароля
• Распаковка резервных файлов Android
• Снимок экрана экрана устройства

Проект Freta [https://docs.microsoft.com/en-us/security/research/project-freta/] - это бесплатное облачное предложение от команды New Security Ventures (NSV) в Microsoft Research , которое обеспечивает автоматизированную проверку энергозависимой памяти всей системы в системах Linux.

Возможности:
- обнаружение вредоносных программ, руткитов ядра, скрытых процессов и других артефактов вторжения, работая непосредственно снимками виртуальной машины
- крайне прост в использовании: отправьте захваченное образ для создания отчета о его содержимом
- предназначен для автоматизации задач обнаружения непосредственно в облачной структуре, хотя образы, полученные с помощью инструмента сбора данных, также могут использоваться для анализа там, где виртуализация недоступна
- имеет Python API, REST API и командную оболочку.

IPED [https://github.com/sepinf-inc/IPED] - это программное обеспечение на языке java с открытым исходным кодом, которое можно использовать для обработки и анализа цифровых доказательств. Разрабатывается экспертами по цифровой криминалистике из Федеральной полиции Бразилии с 2012 года.

Ключевые характеристики инструмента:
- Обработка данных в командной строке для пакетного создания кейсов
- Мультиплатформенная поддержка, протестирована на системах Windows и Linux (или используйте Docker - https://github.com/iped-docker/iped)
- Портативные кейсы без установки, их можно запускать со съемных дисков
- Интегрированный и интуитивно понятный интерфейс анализа
- Высокая многопоточная производительность и поддержка больших кейсов: до 135 миллионов элементов по состоянию на 12/12/2019.
- Использование библиотеки Sleuthkit для декодирования образов дисков и файловых систем
- Анализ сигнатур
- Категоризация по типу и свойствам файлов
- Рекурсивное расширение контейнеров для десятков форматов файлов
- Галерея изображений и видео для сотен форматов
- Геопривязка данных GPS (требуется ключ Google Maps Javanoscript API)
- Regex-поиск с опциональной скриптовой валидацией для кредитных карт, электронной почты, урлов, денежных сумм, кошельков bitcoin, ethereum, ripple...
- И многое многое другое...

Поговорим о таймлайнах!

Plaso [https://github.com/log2timeline/plaso] - прекрасный инструмент, написанный на Python, состоящий из набора утилит, предназначенных для сбора всевозможных событий с отметками времени в один файл при проведении криминалистического анализа.

Помимо стандартного функционала поддерживает:
- добавление новых парсеров событий или плагинов парсинга;
- добавление новых плагинов анализа;
- написание одноразовых сценариев для автоматизации повторяющихся задач.

Утилиты Plaso, они находятся в каталоге tools:
- image_export — извлекает из устройства или его образа файлы по различным критериям: начиная c расширения и путей, заканчивая сигнатурами и временем создания или модификации.
- log2timeline — основной инструмент, который используется для извлечения разных событий из файлов, каталогов.
- pinfo — утилита для вывода информации о содержимом файла Plaso (который создается с помощью log2timeline), например версиях, парсерах, типах событий, попавших в отчет, их количестве и ошибках.
- psort — утилита, которая выполняет дополнительную обработку и конвертирует полученный ранее файл Plaso в необходимый формат.

Deepfence ThreatMapper
[ https://github.com/deepfence/ThreatMapper ]

Фреймворк, помогающий вам контролировать и защищать работающие приложения в облаке, Kubernetes, Docker и AWS Fargate. Cостоит из двух компонентов - консоли управления Deepfence Management Console и серии датчиков Deepfence Sensors. Консоль определяет сетевую топологию ваших приложений, опрашивает манифесты для поиска уязвимостей и отображает "карту угроз". Датчики развертываются на инстансах и безопасно передают манифесты и телеметрию на специальную консоль.

Приложение позволяет:
• управлять пользователями, которые могут получить доступ к консоли.
• визуализировать и детализировать кластеры Kubernetes, виртуальные машины, контейнеры и образы, запущенные процессы и сетевые соединения практически в режиме реального времени. Используйте ThreatMapper для обнаружения топологии ваших приложений.
• запускать сканирование на уязвимости запущенных контейнеров и приложений, просматривать результаты, ранжируя их по степени риска (по CVSS).
• запускать сканирование на уязвимости узлов инфраструктуры вручную или автоматически при их добавлении в кластер.
• сканирование реестров контейнеров на наличие уязвимостей перед их развертыванием.
• сканировать сборки образов как части CI/CD конвейера. Поддерживает CircleCI, Jenkins и GitLab.
• настройка интеграции с внешними системами уведомлений, SIEM, включая Slack, PagerDuty, Jira, Splunk, ELK, Sumo Logic и Amazon S3.

TelegramScraper - Инструмент парсинга чатов в Telegram для исследования дезинформации и расследования инцидентов. Пример организации расследования.

♾ github.com/TechRahul20/TelegramScraper
Еще чекер номеров Telegram и парсер.

IoPT: Network Security Scanner
[ https://play.google.com/store/apps/details?id=pro.dnovikov.iopt ]

На первый взгляд обычный набор сетевых утилит, но создатели пошли немного дальше и прикрутили интеграцию с поисковиком Shodan и поиск по слитым учетным данным, простенький сканер уязвимостей (сейчас в базе около 500 самых распространённых) и анализатор RTSP для поиска видео-камер в сети.

Функционал:
• Аудит безопасности - определение сервисов в сети и выполнение аудита безопасности.
• Обнаружение хостов - определение хостов в сети.
• Сканирование портов - сканинг открытые TCP-порты на целевом хосте.
• Интеграция HiBP - убедитесь, что ваши личные данные не были скомпрометированы в результате утечки данных.
• Интеграция Shodan - убедитесь, что вы знаете все «вещи» в сети, напрямую подключенной к Интернету.
• Аудит RTSP - Выполните аудит безопасности для источника RTSP (например, установки системы видеонаблюдения). Проверьте свою сеть на предмет несанкционированных установок видеонаблюдения.