exif-gps-tracer [https://github.com/AidenPearce369/exif-gps-tracer] - простой скрипт на python, который позволяет анализировать данные геолокации из файлов изображений, хранящихся в указанной папке. Производит вывод координат с меткой времени в CSV-файл, а также в HTML-файл GoogleMap. Это позволяет пользователю, например, эффективно идентифицировать передвижения цели, а также сэкономить время, которое бы потратилось на обработку большого набора файлов. Как вы понимаете, работает с exif-данными изображенний.

Gophish [ getgophish.com ]- это простой и в то же время мощный фишинговый инструмент с открытым исходным кодом, который будет отличным подспорьем в антифишиноговых учениях в вашей компании.

• Великолепный веб-интерфейс. Импортируйте существующие веб-сайты и электронные письма, включите отслеживание открытых сообщений электронной почты и многое другое одним щелчком мыши.
• Устанавливается в один клик на windows/Linux/MacOS
• Отслеживание результатов в реальном времени. Используя пользовательский интерфейс, вы можете просматривать временную шкалу для каждого получателя, отслеживать открытия электронной почты, клики по ссылкам, отправленные учетные данные и многое другое.

Репозиторий: github.com/gophish/gophish

Andriller CE [github.com/den4uk/andriller]- криминалистический фреймворк с коллекцией инструментов для извлечения данных из смартфонов.

Возможности:
• Автоматизированное извлечение и декодирование данных
• Извлечение данных с root правами: корневой демон ADB, режим восстановления CWM
• Анализ и декодирование данных структуры папок и файлов резервного копирования Android (файлы backup.ab)
• Выбор отдельных декодеров баз данных для приложений Android
• Расшифровка зашифрованных архивных баз данных WhatsApp (для .crypt в .crypt12 нужно иметь иметь файл ключа)
• Обход экрана блокировки рисунка, PIN-кода, пароля
• Распаковка резервных файлов Android
• Снимок экрана экрана устройства

Проект Freta [https://docs.microsoft.com/en-us/security/research/project-freta/] - это бесплатное облачное предложение от команды New Security Ventures (NSV) в Microsoft Research , которое обеспечивает автоматизированную проверку энергозависимой памяти всей системы в системах Linux.

Возможности:
- обнаружение вредоносных программ, руткитов ядра, скрытых процессов и других артефактов вторжения, работая непосредственно снимками виртуальной машины
- крайне прост в использовании: отправьте захваченное образ для создания отчета о его содержимом
- предназначен для автоматизации задач обнаружения непосредственно в облачной структуре, хотя образы, полученные с помощью инструмента сбора данных, также могут использоваться для анализа там, где виртуализация недоступна
- имеет Python API, REST API и командную оболочку.

IPED [https://github.com/sepinf-inc/IPED] - это программное обеспечение на языке java с открытым исходным кодом, которое можно использовать для обработки и анализа цифровых доказательств. Разрабатывается экспертами по цифровой криминалистике из Федеральной полиции Бразилии с 2012 года.

Ключевые характеристики инструмента:
- Обработка данных в командной строке для пакетного создания кейсов
- Мультиплатформенная поддержка, протестирована на системах Windows и Linux (или используйте Docker - https://github.com/iped-docker/iped)
- Портативные кейсы без установки, их можно запускать со съемных дисков
- Интегрированный и интуитивно понятный интерфейс анализа
- Высокая многопоточная производительность и поддержка больших кейсов: до 135 миллионов элементов по состоянию на 12/12/2019.
- Использование библиотеки Sleuthkit для декодирования образов дисков и файловых систем
- Анализ сигнатур
- Категоризация по типу и свойствам файлов
- Рекурсивное расширение контейнеров для десятков форматов файлов
- Галерея изображений и видео для сотен форматов
- Геопривязка данных GPS (требуется ключ Google Maps Javanoscript API)
- Regex-поиск с опциональной скриптовой валидацией для кредитных карт, электронной почты, урлов, денежных сумм, кошельков bitcoin, ethereum, ripple...
- И многое многое другое...

Поговорим о таймлайнах!

Plaso [https://github.com/log2timeline/plaso] - прекрасный инструмент, написанный на Python, состоящий из набора утилит, предназначенных для сбора всевозможных событий с отметками времени в один файл при проведении криминалистического анализа.

Помимо стандартного функционала поддерживает:
- добавление новых парсеров событий или плагинов парсинга;
- добавление новых плагинов анализа;
- написание одноразовых сценариев для автоматизации повторяющихся задач.

Утилиты Plaso, они находятся в каталоге tools:
- image_export — извлекает из устройства или его образа файлы по различным критериям: начиная c расширения и путей, заканчивая сигнатурами и временем создания или модификации.
- log2timeline — основной инструмент, который используется для извлечения разных событий из файлов, каталогов.
- pinfo — утилита для вывода информации о содержимом файла Plaso (который создается с помощью log2timeline), например версиях, парсерах, типах событий, попавших в отчет, их количестве и ошибках.
- psort — утилита, которая выполняет дополнительную обработку и конвертирует полученный ранее файл Plaso в необходимый формат.

Deepfence ThreatMapper
[ https://github.com/deepfence/ThreatMapper ]

Фреймворк, помогающий вам контролировать и защищать работающие приложения в облаке, Kubernetes, Docker и AWS Fargate. Cостоит из двух компонентов - консоли управления Deepfence Management Console и серии датчиков Deepfence Sensors. Консоль определяет сетевую топологию ваших приложений, опрашивает манифесты для поиска уязвимостей и отображает "карту угроз". Датчики развертываются на инстансах и безопасно передают манифесты и телеметрию на специальную консоль.

Приложение позволяет:
• управлять пользователями, которые могут получить доступ к консоли.
• визуализировать и детализировать кластеры Kubernetes, виртуальные машины, контейнеры и образы, запущенные процессы и сетевые соединения практически в режиме реального времени. Используйте ThreatMapper для обнаружения топологии ваших приложений.
• запускать сканирование на уязвимости запущенных контейнеров и приложений, просматривать результаты, ранжируя их по степени риска (по CVSS).
• запускать сканирование на уязвимости узлов инфраструктуры вручную или автоматически при их добавлении в кластер.
• сканирование реестров контейнеров на наличие уязвимостей перед их развертыванием.
• сканировать сборки образов как части CI/CD конвейера. Поддерживает CircleCI, Jenkins и GitLab.
• настройка интеграции с внешними системами уведомлений, SIEM, включая Slack, PagerDuty, Jira, Splunk, ELK, Sumo Logic и Amazon S3.

TelegramScraper - Инструмент парсинга чатов в Telegram для исследования дезинформации и расследования инцидентов. Пример организации расследования.

♾ github.com/TechRahul20/TelegramScraper
Еще чекер номеров Telegram и парсер.

IoPT: Network Security Scanner
[ https://play.google.com/store/apps/details?id=pro.dnovikov.iopt ]

На первый взгляд обычный набор сетевых утилит, но создатели пошли немного дальше и прикрутили интеграцию с поисковиком Shodan и поиск по слитым учетным данным, простенький сканер уязвимостей (сейчас в базе около 500 самых распространённых) и анализатор RTSP для поиска видео-камер в сети.

Функционал:
• Аудит безопасности - определение сервисов в сети и выполнение аудита безопасности.
• Обнаружение хостов - определение хостов в сети.
• Сканирование портов - сканинг открытые TCP-порты на целевом хосте.
• Интеграция HiBP - убедитесь, что ваши личные данные не были скомпрометированы в результате утечки данных.
• Интеграция Shodan - убедитесь, что вы знаете все «вещи» в сети, напрямую подключенной к Интернету.
• Аудит RTSP - Выполните аудит безопасности для источника RTSP (например, установки системы видеонаблюдения). Проверьте свою сеть на предмет несанкционированных установок видеонаблюдения.

Полезные источники для OSINT:
├исследование профиля Skype
├исследование профиля Telegram
├исследование профиля ВКонтакте
├исследование профиля Instagram
├поиск совпадений никнеймов
├сбор данных по геолокации
├сбор данных по паролю
├исследование криптокошелька
├исследование вебсайта
├анализ рекламных идентификаторов
├исследование фотоснимков
├логгирование пользователей сети
├исследование ip-адреса
├идентификация телефонных номеров
├геолокация мобильных телефонов
├геолокация электронной почты
├обучение использованию Maltego
├бесплатные программы безопасника
├сбор данных о субъекте бизнеса в РФ
├сбор данных о физлицах в РФ
├мониторинг субъекта бизнеса
└мониторинг упоминаний в СМИ

AirGuard
[ github.com/seemoo-lab/AirGuard ]

AirTags от Apple прекрасное устройство позволяющая забывчивым и рассеянным найти оставленные вещи! А еще это прекрасный инструмент последить за кем-нибудь! Любой человек с легкостью может попытаться отслеживать ваши перемещения, поместив AirTag в вашу куртку, рюкзак или машину. Сама Apple, позаботилась об этом, и пользователи iPhone получают уведомления, когда чужая метка находится рядом с вами больше 8 часов. Но что же делать пользователям Android?

AirGuard периодически сканирует ваше окружение на предмет потенциальных устройств слежения, таких как AirTags или других маяков (например от Samsung). Если чужой маяк будет следовать за вами около часа- AirGuard начнет сигналить о начавшейся слежке. Так же из приложения можно запустить звуковой сигнал на самой метке и посмотреть на карте, историю того, где метка выходила на связь.

whids
[https://github.com/0xrawsec/whids]

Открытая EDR для Windows со сбором артефактов и конфигурируемым процессом обнаружения. Механизм обнаружения построен на базе проекта Gene, специально разработанного для сопоставления событий Windows с правилами, заданными пользователем. Оповещение об инциденте инициирует сбор артефактов (файл, реестр, память процесса). Таким образом, вы будете уверены, что собираете артефакты максимально оперативно.

Функционал:
• использует утилиту Sysmon
• полностью настраиваемый механизм обнаружения
• не инжектируется в процессы
• может сосуществовать с любым антивирусным продуктом (рекомендуется использовать вместе с MS Defender)
• рассчитан на высокую производительность. Он может легко анализировать 4 миллиона событий в день на конечную точку без ущерба для производительности
• легко интегрируется с другими инструментами (Splunk, ELK, MISP ...)
• интегрирован с фреймворком ATT&CK
• к сожалению, не поддерживает Event Tracing for Windows
• агент EDR может запускаться автономно

Проекты по идентификации местоположения Wi-Fi сигнала:

whereami [https://github.com/kootenpv/whereami]

FIND [https://github.com/schollz/find3]

Позволяют вам использовать ваш смартфон или компьютер (Electric Imp, Raspberry Pi, Particle Photon и ESP8266) и с поддержкой WiFi-соединения для определения вашего местоположения в пределах вашего дома или офиса. Информация о местоположении может быть использована различными способами, включая домашнюю автоматизацию или слежение! Также невероятно полезно для систем умного дома!

Автор проекта RouterScan, о котором мы писали ранее, качественно обновил свой сайт и добавил в общий доступ любопытнейшую базу Wi-Fi точек доступа:
[http://3wifi.stascorp.com/map]

Помимо карты с указанными точками доступа имеет поиск по BSSID и MAC, собственный API, базу паролей, а также крайне полезную статистику устройств, портов, паролей.

Другими словами, если вы увидели на карте свою точку доступа- это значит ваш роутер подвержен одной или нескольким уязвимостям, позволяющие попасть в вашу сеть. Хороший повод обновить прошивку роутера, поменять все пароли на нем, ну и посмотреть во внутрь своей сети- а не завелся ли в ней незваный гость. А в прилагаемом архиве- словарь парольных слов.
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.

Hunting ELK
[https://github.com/Cyb3rWard0g/HELK]

Платформа для поиска угроз с открытым исходным кодом с расширенными аналитическими возможностями, такими как язык SQL, построение графиков, структурированная потоковая передача и даже машинное обучение. Гибкая архитектура и основные компоненты позволяют развернуть платфолрму в более крупных средах с правильными конфигурациями и масштабируемой инфраструктурой.

Функционал:
• на борту: Kafka, ELK, ES-Hadoop, Spark, Jupyter Notebooks
• экономит время, необходимое для развертывания платформ подобной архитектуры
• улучшает тестирование и разработку сценариев поиска угроз
• возможности Data Science при анализе данных с помощью Apache Spark, GraphFrames и Jupyter
• дополниетельные возможности: KSQL - механизм обработки данных в реальном времени, Elastalert - механизм оповещения об аномалиях ELK, Sigma - унифицированный формат описания правил детектирования, основанных на данных из логов

OpenEDR
[https://github.com/ComodoSecurity/openedr]

Бесплатное приложение с открытым исходным кодом, позволяющее вам анализировать происходящее в вашей среде. Подобные меры проводят точный анализ инцидентов и необходимы для более быстрого и эффективного устранения последствий.

• агент записывает всю телеметрию локально, а затем отправляет данные в локально размещенную или облачную систему ElasticSearch
• эффективно используется с Comodo Dragon Enterprise
• отслеживание иерархии процессов , а также компонент инжектирования в различные процессы для сбора API вызовов
• перехватывает запросы ввода-вывода файловой системы
• отслеживает создание/удаление процессов
• отслеживает доступ к реестру
• предотвращает несанкционированные изменения компонентов и конфигурации EDR
• имеет сетевой фильтр для мониторинга сетевой активности

usbinfo
[https://github.innominds.com/patatetom/usbinfo]

Поиск и отображение факта подключения USB-устройств, оставленных в реестре ОС Windows. Для использования необходима утилита regdump
(https://github.com/adoxa/regdump)
Простая и эффективная утилита Linux, написанная на bash. Дополнит ваш список маленьких скриптов для проведения криминалистического анализа.

Парсер чатов и комментариев Telegram

Делимся с вами новым софтом от @JSDio

Из возможностей:

— Выгрузка пользователей и сообщений из открытых/закрытых чатов, чатов для комментариев на каналах
— Скрипт принимает как ссылки на чаты, например: https://news.1rj.ru/str/username, @username, username, так и числовые id, если пользователь, от сессии которого ведётся парсинг, состоит в нужном чате/канале
— Вывод собранной истории сообщений в html/txt. За шаблон спасибо @danila_ms.
— Выгрузка участников сразу в 3 формата: json, excel, txt

В результате работы скрипта получаем файл со всей необходимой информацией: профили администраторов с их описанием (админ, редактор и т.д.), ID, имена, username, телефоны (при наличии), боты, удалённые аккаунты, скам.

Ссылка на GitHub

Аудит конфиденциальности популярных веб-браузеров с открытым исходным кодом. Если кликнуть на значок в таблице, то получите конкретное подтверждение на чем основывается вывод. [ https://privacytests.org/ ]

https://thebinaryhick.blog/2021/10/27/ios-15-powered-off-tracking-remote-bombs/
Интересная статья про исследование возможности удаленного стирания данных с выключенного IPhone 12 Pro, а также идентификации его местоположения. Ну и не менее интересный вывод: Абсолютно необходимо, чтобы персонал, ответственный за изъятие, хранение и осмотр i-устройств, обеспечил отключение всех беспроводных интерфейсовэ на i-устройствах, пока они находятся под его контролем.

«В интернете масса всяких инструкций на тему проверки своего телефона на предмет слежки, и они практически все чуть больше чем бесполезны… «Проверьте включена ли переадресация» пишут в статье на популярном сайте, и таки да, она включена по умолчанию на автоответчик оператора и это не показатель того что, за вами следят. «Быстрый разряд батареи, явно говорит о том, что за мобильным устройством установлена слежка» - угу, Google Chrome конечно знает о вас больше чем вы сами, но слежка «корпорации добра» уже настолько очевидна, что кто её боится сейчас?»

[https://telegra.ph/V-poiskah-mobilnyh-shpionov-ili-kogda-na-dvore-ocherednoj-lokdaun-i-poyavilos-nemnogo-svobodnogo-vremeni-11-05-2]
-----------------------------------------------------------------------
Мы начинаем серию лонгридов о личном опыте использования и создания решений предназначенных для расследований и форензики.

А начать решили с обзора простого, но в тоже время мощного и максимально полезного - проекта TinyCheck.