Hunting ELK
[https://github.com/Cyb3rWard0g/HELK]

Платформа для поиска угроз с открытым исходным кодом с расширенными аналитическими возможностями, такими как язык SQL, построение графиков, структурированная потоковая передача и даже машинное обучение. Гибкая архитектура и основные компоненты позволяют развернуть платфолрму в более крупных средах с правильными конфигурациями и масштабируемой инфраструктурой.

Функционал:
• на борту: Kafka, ELK, ES-Hadoop, Spark, Jupyter Notebooks
• экономит время, необходимое для развертывания платформ подобной архитектуры
• улучшает тестирование и разработку сценариев поиска угроз
• возможности Data Science при анализе данных с помощью Apache Spark, GraphFrames и Jupyter
• дополниетельные возможности: KSQL - механизм обработки данных в реальном времени, Elastalert - механизм оповещения об аномалиях ELK, Sigma - унифицированный формат описания правил детектирования, основанных на данных из логов

OpenEDR
[https://github.com/ComodoSecurity/openedr]

Бесплатное приложение с открытым исходным кодом, позволяющее вам анализировать происходящее в вашей среде. Подобные меры проводят точный анализ инцидентов и необходимы для более быстрого и эффективного устранения последствий.

• агент записывает всю телеметрию локально, а затем отправляет данные в локально размещенную или облачную систему ElasticSearch
• эффективно используется с Comodo Dragon Enterprise
• отслеживание иерархии процессов , а также компонент инжектирования в различные процессы для сбора API вызовов
• перехватывает запросы ввода-вывода файловой системы
• отслеживает создание/удаление процессов
• отслеживает доступ к реестру
• предотвращает несанкционированные изменения компонентов и конфигурации EDR
• имеет сетевой фильтр для мониторинга сетевой активности

usbinfo
[https://github.innominds.com/patatetom/usbinfo]

Поиск и отображение факта подключения USB-устройств, оставленных в реестре ОС Windows. Для использования необходима утилита regdump
(https://github.com/adoxa/regdump)
Простая и эффективная утилита Linux, написанная на bash. Дополнит ваш список маленьких скриптов для проведения криминалистического анализа.

Парсер чатов и комментариев Telegram

Делимся с вами новым софтом от @JSDio

Из возможностей:

— Выгрузка пользователей и сообщений из открытых/закрытых чатов, чатов для комментариев на каналах
— Скрипт принимает как ссылки на чаты, например: https://news.1rj.ru/str/username, @username, username, так и числовые id, если пользователь, от сессии которого ведётся парсинг, состоит в нужном чате/канале
— Вывод собранной истории сообщений в html/txt. За шаблон спасибо @danila_ms.
— Выгрузка участников сразу в 3 формата: json, excel, txt

В результате работы скрипта получаем файл со всей необходимой информацией: профили администраторов с их описанием (админ, редактор и т.д.), ID, имена, username, телефоны (при наличии), боты, удалённые аккаунты, скам.

Ссылка на GitHub

Аудит конфиденциальности популярных веб-браузеров с открытым исходным кодом. Если кликнуть на значок в таблице, то получите конкретное подтверждение на чем основывается вывод. [ https://privacytests.org/ ]

https://thebinaryhick.blog/2021/10/27/ios-15-powered-off-tracking-remote-bombs/
Интересная статья про исследование возможности удаленного стирания данных с выключенного IPhone 12 Pro, а также идентификации его местоположения. Ну и не менее интересный вывод: Абсолютно необходимо, чтобы персонал, ответственный за изъятие, хранение и осмотр i-устройств, обеспечил отключение всех беспроводных интерфейсовэ на i-устройствах, пока они находятся под его контролем.

«В интернете масса всяких инструкций на тему проверки своего телефона на предмет слежки, и они практически все чуть больше чем бесполезны… «Проверьте включена ли переадресация» пишут в статье на популярном сайте, и таки да, она включена по умолчанию на автоответчик оператора и это не показатель того что, за вами следят. «Быстрый разряд батареи, явно говорит о том, что за мобильным устройством установлена слежка» - угу, Google Chrome конечно знает о вас больше чем вы сами, но слежка «корпорации добра» уже настолько очевидна, что кто её боится сейчас?»

[https://telegra.ph/V-poiskah-mobilnyh-shpionov-ili-kogda-na-dvore-ocherednoj-lokdaun-i-poyavilos-nemnogo-svobodnogo-vremeni-11-05-2]
-----------------------------------------------------------------------
Мы начинаем серию лонгридов о личном опыте использования и создания решений предназначенных для расследований и форензики.

А начать решили с обзора простого, но в тоже время мощного и максимально полезного - проекта TinyCheck.

Карта российского рынка информационной безопасности в 2021 году.

Правильное проектирование системы видеонаблюдения- 80% успеха в проведение расследований с ее использованием. Ведь важно понимать, в каких местах будет уместна обзорная камера, показывающая общую картину происходящего, в каких видеокамера для идентификации лиц или номеров автомобилей, а в каких будет эффективна интеллектуальная система видео детекторов (чтоб без ложных срабатываний даже на смену освещения или качающейся листвы) Для этого существуют специальные программные конструкторы, которые очень сильно облегчают работу не только инженеру проектировщику, но и самому «безопаснику» компании.

[ https://calculator.ipvm.com/ ] - достаточно простенький но очень удобный проектировщик в первую очередь уличного видеонаблюдения с привязкой к Google картам

[ https://www.jvsg.com/calculators/cctv-lens-calculator/] ЗD моделирование видимости объектов для подбора нужной высоты установки и выбора правильных объективов для видеокамер от команды [https://www.jvsg.com/]

[https://hikvision.ru/project/calc] Калькуляторы подбора объективов и емкости видеоархива и расчета пропускной способности сети от производителя Hikvision

[ https://ipdrom.ru/calc/calculator.jsf ] Комплексный калькулятор для подбора серверного оборудования для систем одного из лидеров российских систем видеонаблюденичя Axxon

Toutatis
[https://github.com/megadose/toutatis]

Простой скрипт для сбора данных об Instagramm аккаунте, написанный на Python. Выводит ник, ID, Email, номер телефона и некоторые другие параметры аккаунта. Можно установить даже через pip. Не забудьте указать sessionID в core.py.

instagram_private_api
[https://github.com/ping/instagram_private_api]

Python-библиотека в виде приватного API Instagram без сторонних зависимостей. Поддерживает как API приложения, так и веб-интерфейс. Описывает несколько десятков методов, с помощью которых можно добавить в своё приложение функции для автоматической подписки на профили, оставления лайков и комментариев, выкладки постов и сторис. И, конечно, для автоматического сбора данных о пользователях.

Terra
[https://github.com/xadhrit/terra]

Инструмент, работающий с библиотекой instagram_private_api, для сбора данных о пользователях Twitter и Instagram. Просто вставьте аутентификационные данные в twitter.yml и insta.yml и получите внушительный список данных об аккаунте и его фолловерах.

#osint #instagram #python #noscript #api

Ребята из XPanamas очень грамотно расписали о ценообразование на рынке pentest услуг. Для конечного заказчика много непонятных терминов, а вот коллегам занимающихся пентестом как услугой- будет очень полезно:
https://telegra.ph/Cenoobrazovanie-na-pentest-uslugi-ch-1-11-08

Packet Strider
[https://github.com/benjeems/packetStrider]

Инструмент сетевой криминалистики, который призван обеспечить понимание природы трафика SSH. Несмотря на то, что SSH зашифрован, в сетевом трафике все еще существует полезная информация.

• более 40 характеристик формируются из метаданных пакета, таких как содержание сообщения протокола SSH, нормализованная статистика, направление, размер, задержка и т.д.
• сопоставление шаблонов по признакам, используя статистический анализ. Также вывод статистических графиков.
• идентификация обратного сеанса SSH (-R)
• прогнозы и отчеты о метаданных по каждому потоку
• идентификация использования опции -A (SSH Agent Forwarding)
• установление факта того, что известен ли уже сервер клиенту или соединение между ними было установлено впервые
• факт использования сертификата клиента или пароля, а также длина пароля - 8 символов или меньше

#network #forensic #ssh #pcap

Mobile LPR
[ https://play.google.com/store/apps/details?id=com.maxsoft.mobilelpr ] - для Андроид
[ https://apps.apple.com/app/id1447361983 ] для iOS

Программа для смартфонов распознает номера и заносит в собственную базу данных с указанием места на карте и привязкой ко времени.

Функционал:
⁃ Поддерживает черные/белые списки.
⁃ Фиксирование номеров при движение с привязкой к местоположению.
⁃ Push уведомления
⁃ Отправка уведомлений на почту или в облако.
⁃ Поддержка подключения внешних сетевых видеокамер
⁃ Возможность сканирования номеров из видеофайлов

Может быть полезно при отслеживание определенных автомобилей в потоке, например при поиске угнанных машин. Осуществлять контр-наблюдение, контролируя все машины в потоке по ходу движения.

Есть бесплатная версия с рекламой и расширенный функционал ( подключение видеокамер и работа с видеофайлами) за дополнительную плату.

Несмотря на достаточно корявый дизайн, уровень распознавания и базовый функционал достаточно высок относительно подобных решений.

#OSINT #Security Сегодня расскажу вам об источниках информации, предназначенных для сбора данных о гражданах России. Их использование, без сомнения, пригодится для верификации анкетных данных и скоринга. Начинаем...

├interpol (розыск)
├mvd (розыск)
├fsin (розыск)
├fssp (розыск)
├terrorists (терроризм)
├passport (проверка паспорта)
├inn (проверка ИНН)
├гибдд (проверка ВУ)
├exbico (кредиты)
├fssp (исполнительные производства)
├peney (налоги)
├reestr-zalogov (залоги)
├fedresurs (банкротство)
├sudrf (участие в судах)
├sudact (участие в судах)
├mos-sud (мировые суды МСК)
├mirsud (мировые суды СПб)
├гибдд (нарушения ПДД)
├zachestnyibiznes (связь с бизнесом)
├nel (связь с бизнесом)
├search_social (социальные сети)
└obrnadzor (проверка диплома)

@tomhunter

Dashcam Viewer
[ https://dashcamviewer.com/ ]

Универсальный плейер для записей с автомобильных регистраторов и экшен камер. Поддерживает около 140 базовых (а рынок полнится OEM и ODM клонами- так что по факту гораздо больше) моделей устройств.

Умеет брать логи практически со всех датчиков устанавливаемых в видеорегистраторах. Может показывать видео с привязкой к картам, геоданным, гироскопу, барометру, датчику наклона и аудио событиям. Работает под Mac и Windows. Разработчик просит вполне вменяемых денег, но и дает пробную бесплатную версию.

Прекрасное решение для работы страховых следователей работающих с автотранспортом или СБ логистических компаний

#investigation #video #cam #player

НАШИ УСЛУГИ:

1. Технический аудит

Аудит информационной безопасности
- Аудит сетевой инфраструктуры
- Аудит внедренных политик безопасности и их актуальность
- Тестирование на проникновение в информационную инфраструктуру
- Аудит актуальности мер защиты относительно модели угроз ИБ

Аудит технических систем безопаcности (видеонаблюдение, скуд, опс)
- Проверка проектной и рабочей документации и ее актуальность
- Проверка технического состояния установленных систем безопаности
- Проверка целесообразности размещения элементов ТСБ для эффективного решения задач безопаности относительно модели угроз
- Проверка конфигураций программной платформы ситемы безоопаности
- Проверка конфигураций аппаратных элементов системы безопасности.

2. Ситуационный аудит
- Проведение исследований на проникновение в защищенный периметр компании для тестирования эффективности противодействия к определенным моделям угроз и противодействию им.

3. Моделирование угроз
- Ситуационные симуляции для изучения поведения сотрудников компании при определенных моделях угроз информационной безопасности (фишинговый рассылки, имитация хакерских атак, имитация утечек информации)
- Ситуационные симуляции для изучения поведения сотрудников СБ при определенных моделях угроз (физическое проникновение, рейдерский захват, террористическая угроза)

4. Определение модели угроз и нарушителей
Описание существующих угроз безопасности, их актуальности, возможности реализации и последствий.
- Выявление критичных объектов информационной инфраструктуры.
- Определение перечня угроз для каждого критического объекта.
- Определение способов реализации угроз.
- Определение модели нарушителя.
- Оценка материального ущерба и других последствий возможной реализации угроз.


5. Форензика
⁃ Криминалистический анализ информационных систем на наличие определенных данных.
⁃ Криминалистический анализ компьютеров, смартфонов, планшетов, телефонов, дронов направленный на извлечение данных различных сервисов.
⁃ Восстановление данных с носителей, смартфонов, компьютеров.
⁃ Проведение расследований случаев промышленного шпионажа.
⁃ Поиск технических каналов утечки информации.

OSINT-SAN Framework
[https://osintsan.ru/]

linux фреймворк, позволяющий быстро находить информацию и деанонимизировать пользователей сети интернет, используя 30 функций для поиска информации.

Основные возможности PRO-версии:
- Поиск информации о домене и ip
- Деанонимизатор телеграмм
(https://news.1rj.ru/str/osint_san_framework/374).
- Сбор данных о номере со всех баз данных СНГ.
- Деанонимизация геолокации, и доступ к камере при помощи ссылки. (https://news.1rj.ru/str/osint_san_framework/348).
- Большая OSINT Wikipedia.
- Сбор данных о email.
- Быстрый сканер по локальным db, до 2-4 тб.
- Сбор технических данных.
- Подключено большое число баз данных.
- Часть функций выводит и сохраняет в виде графов.
(https://news.1rj.ru/str/osint_san_framework/410)

Ожидаем версию под termux и веб версию.
Больше информации - https://news.1rj.ru/str/osint_san_framework

Имеет бесплатную
(https://github.com/Bafomet666/OSINT-SAN) и PRO версии.

dfir_ntfs
[https://github.com/msuhanov/dfir_ntfs]

парсер файловой системы NTFS, написанный на Python и предназначенный для мероприятий цифровой криминалистики и реагирования на инциденты

- парсит файлы $MFT, $UsnJrnl:$J, извлекает как можно больше данных.
- производит разбор томов, образов томов и теневых копий томов.
- извлечение строк имен файлов из частичных атрибутов $FILE_NAME в файловой записи, а также дополнительная проверка атрибутов $FILE_NAME в индексных записях.
- печать информации из индексных записей, найденных в журнале $LogFile.
- способен анализировать tracking.log (который содержит перемещаемую таблицу — список идентификаторов объектов и идентификаторов машин для файлов, перемещенных на другие тома). Для тома с общим сетевым ресурсом это может дать список клиентских компьютеров.

#windows #dfir #forensic #recovery #ntfs #python

SysmonX
[https://github.com/marcosd4h/sysmonx]

Версия Sysmon (сервис, совершающий мониторинг всех процессов в системе Windows) с открытым исходным кодом, созданная с целью дать возможность безопасникам масштабировать аудит событий Windows

• расширение источников сбора данных Sysmon и создание новых событий безопасности
• расширение возможностей Sysmon по корреляции событий. Это позволяет эффективно использовать новые логические операции между событиями и создавать расширенные возможности обнаружения
• обеспечение снижения количества ложных срабатываний путем сужения круга подозрительных событий
• состоит из автономного двоичного файла, который разворачивается как служба windows, поддерживает традиционные конфигурации Sysmon, а также предоставляет возможность настраивать SysmonX через CLI.

А также подборка материалов - https://github.com/ion-storm/sysmon-config, https://github.com/MHaggis/sysmon-dfir

#windows #sysmon #infosec #events #audit #dfir

У Никиты с канала t.me/forensicsru вышло прекрасное видео с Юрой Тихоглазом из CSI Group про eDiscovery
[ https://youtu.be/jroAM2Gr6Gc ]

Используемые инструменты в ролике:
Datashare [ https://news.1rj.ru/str/forensictools/372 ]
Dataiku [ https://www.dataiku.com ]