Огромный набор полезных шпаргалок по форензике и реагированию на инциденты!

[https://www.jaiminton.com/cheatsheet/DFIR/#]

Сегодня 13 января в 20.00 по мск поговорим про бизнес на безопаности! Мы пригласили коллег из tomhunter.ru - компании предлагающий полный спектр услуг в области безопаности, что бы разобраться, с какими проблемами обращаются люди, сколько денег зарабатывается на услугах и что наиболее востребованно сейчас на рынке! Ваши вопросы, как всегда, ждем в комментариях к этому посту! И конечно же вы их можете задать лично во время эфира!

Shodan поисковые операторы
♾ https://cheatsheet-maker.herokuapp.com/sheet/61df0d1a9ee9010015bc5ebe

Артефакты судебной экспертизы ОС и приложений, связанные с Windows 10. Хоть и с 2015го, но полезность данная презентация не истратила!

https://www.slideshare.net/bsmuir/windows-10-forensics-os-evidentiary-artefacts

В этой статье рассказано о исследованиях и разработке плагинов для Volatility, если кого-то интересует как выглядит этот рабочий процесс и как злоупотребление API вредоносным ПО или новая техника инъекции могут быть успешно выявлены плагином Volatility. Чтобы продемонстрировать этот процесс, в статье анализируется функция Skeleton Key в Mimikatz и параллельно разрабатывается плагин для Volatility 3, который может успешно обнаружить эту технику бэкдора в образах оперативной памяти.

[https://volatility-labs.blogspot.com/2021/10/memory-forensics-r-illustrated.html]

Небольшой список библиотек для работы с API реестра Windows

Реализуют все основные операции с реестром: открытие/создание/удаление ключей, загрузка улья приложения из файла, чтение и запись значений.

winreg [https://github.com/gentoo90/winreg-rs]
Оболочка на Rust к API реестра MS Windows.

WinReg v4.1.2 [https://github.com/GiovanniDicanio/WinReg]
Несколько C++ функций вокруг низкоуровневого и сложного в использовании C-интерфейса реестра Windows, разработанный с целью чтобы снизить порог входа, используя C++ классы.

_winreg [https://docs.python.org/3/library/winreg.html]
Функции предоставляют API реестра Windows для Python.

The LeechCore Physical Memory Acquisition Library
[https://github.com/ufrisk/LeechCore]

Библиотека для получения образа оперативной памяти устройства.

• большой список поддерживаемых программных и аппаратных методов сбора памяти.
• используйте библиотеку LeechCore локально или подключайтесь к LeechAgent по сети для получения образа памяти или удаленного выполнения команд.

Wiki - https://github.com/ufrisk/LeechCore/wiki
Демонстрация работы - https://www.youtube.com/watch?v=UIsNWJ5KTvQ

The Memory Process File System (MemProcFS)
[https://github.com/ufrisk/MemProcFS]

ПО и библиотека для доступа к содержимому оперативной памяти и артефактам в виде файлов смонтированной виртуальной файловой системы.

• анализирует файлы дампов памяти, образы через DumpIt или WinPMEM, память в режиме чтения-записи через связанные устройства PCILeech и PCILeech-FPGA!
• можно даже подключиться к удаленному агенту сбора данных памяти LeechAgent через защищенное соединение
• Все в MemProcFS доступно через простой в использовании API для C/C++, C# или Python, что позволяет использовать функции в собственных проектах
• MemProcFS доступен в Python pip.

Wiki - https://github.com/ufrisk/MemProcFS/wiki
Демонстрация работы - https://www.youtube.com/watch?v=pLFU1lxBNM0

13Cubed [https://www.youtube.com/c/13cubed/featured] - этот канал охватывает темы, связанные с информационной безопасностью, включая цифровую криминалистику и реагирование на инциденты (DFIR) и тестирование на проникновение, а также учебные пособия и обзоры различных приложений и сценариев.

Learn Forensics [youtube.com/c/HackingexposedcomputerforensicsblogBlogspot/featured] - еще один канал, посвященный компьютерной криминалистике.

🚸 Новый OSINT toolkit под названием Telepathy для сбора данных в Telegram группах:

https://github.com/jordanwildon/Telepathy

Interceptor-NG
[ sniff.su ]

Один из самых популярных сетевых сниферов, позволяющий проводить тестирование на устойчивость вашей сетевой инфраструктуры к MITM атакам.

Функционал:
◦ перехват авторизации следующих протоколов ICQ\IRC\AIM\FTP\IMAP\POP3\SMTP\LDAP\BNC\SOCKS\HTTP\WWW\NNTP\CVS\TELNET\MRA\DC++\VNC\MYSQL\ORACLE\NTLM\KRB5\RADIUS
◦ перехват сообщений следующих месенджеров ICQ\AIM\JABBER\YAHOO\MSN\IRC\MRA
◦ Smart Scanning with OS\Device detection using tcp fingerprints
◦ Security Scanner X-Scan
◦ ARP Poisoning \ SSLStrip with HSTS Spoofing \ DNS Spoofing \ Forced Download \ HTTP Injections
◦ ARP Watch \ ARP Cage
◦ Захват пакетов для дальнейшего анализа

Быстр, мощен, максимально прост и удобен! Имеет версии под Linux, Android и Windows.

Репозиторий: https://github.com/intercepter-ng/intercepter-ng.github.io
Канал в TG: t.me/cepter

———
Коллеги, чтите Уголовный Кодекс! Этот проект предназначен исключительно для исследовательских и учебных целей. Любое другое его использование может нарушать законодательство той страны, в которой вы находитесь. И мы за это ответственности не несем и всячески порицаем!

Перевод старой статьи [https://habr.com/ru/post/523054/], который может быть полезен для криминалистов, работающих с различными носителями данных. Судя по комментариям, автор статьи никто иной, как легенда своего времени Dejan Kaljevic (https://ru.wikipedia.org/wiki/Калевич,_Деян)

В конце декабря прошлого года, после почти 4 годичного перерыва обновился один из самых популярных сетевых снифферов - Intercepter NG… И в честь этого, знаменательного события, мы пригласили одного из самых видных экспертов в области MITM атак и по совместительству, автора этого легендарного инструмента - Ares -а

В четверг, 20 января, в 20.00 по МСК на канале t.me/ForensicTools

Свой вопрос вы можете задать лично во время эфира или по традиции - в комментариях к этому посту!

Linux_Forensic_Harvester
[https://github.com/theflakes/Linux_Forensic_Harvester]

Инструмент быстрой сортировки для Linux тачек, который проверяет метаданные каталогов и файлов. Содержимое некоторых файлов исследуется в поисках других интересных строк. Например, если в файле есть ссылка на другой файл, метаданные этого файла также будут получены. О других интересных строках, найденных в содержимом файлов, также сообщается: IP, пути к файлам, URL, шеллкод, кодировки Base64 и misc, а также пути UNC. Утилита выводит очень много данных, поэтому я бы добавил вывод в какой-нибудь ELK.

• Добавлен разбор виртуальной файловой системы procfc для получения информации о процессе
• Отчет о принадлежности к локальным пользователям, /etc/passwd, и группам, /etc/groups
• Идентификация "интересных" записей журнала
• Обнаружение web-shell
• История команд
• Setuid / setgid

#linux #rust #triage

reg_hunter
[https://github.com/theflakes/reg_hunter]

Инструмент криминалистики реестра Windows. Помимо функционала обычного просмотра и поиска ключей и веток ресстра, имеет ряд удобного для криминалитса функционала.

• Выходные данные представлены в формате JSON с разграничением строк.
• Позволяет выводить только те ключи и значения реестра, которые могут быть полезны криминалисту.
• Поиск MZ-заголовков, командных оболочек, lnk-файлов, email, IPv4-адресов, сценариев и многого другого
• Имеет вывод результатов по сети, что может быть удобно в корпоративной сети.
• Возможно задать временное окно, по которому будут выведены только те ключи, которые были записаны в указанном интервале.

#registry #windows #rust

Очень интересный набор проектов от команды QeeqBox, для Red, Blue и Purple команд с отличным функционалом и удобным интерфейсом
[https://qeeqbox.com/]

1) ОSINT инструменты:
Social Analyzer [https://github.com/qeeqbox/social-analyzer] - API, CLI и веб-приложение для анализа и поиска профиля человека в более чем 1000 социальных сетях \ веб-сайтах. Он включает в себя различные модули анализа и обнаружения, и вы можете выбрать какие модули использовать в процессе расследования.

Osint [https://github.com/qeeqbox/osint] - инструменты и API OSINT на основе пакета python. Он включает различные модули OSINT (Ping, Traceroute, Scans, Archives, DNS, Scrape, Whois, Metadata) для проведения разведки цели, а также встроенную базу данных для отображения и визуализации некоторых результатов разведки.

2) Анализаторы угроз:
Mitre Visualizer [https://github.com/qeeqbox/mitre-visualizer] - интерактивный граф, визуализирующий матрицу MITRE
(https://qeeqbox.github.io/mitre-visualizer/)

Analyzer [https://github.com/qeeqbox/analyzer] - анализатор угроз внутри компании без взаимодействия с внешними ресурсами. Он анализирует, визуализирует и структурирует конфиденциальные файлы (вредоносные программы) или данные путем извлечения функций, артефактов и IoC с использованием различных модулей. Выходные данные этих модулей могут быть легко интегрированы в исследовательские платформы или платформы SOC.

Raven [https://github.com/qeeqbox/raven] - Карта киберугроз (Упрощенная, настраиваемая и отзывчивая. Она использует D3.js с TOPO JSON, имеет 247 стран, ~100,000 городов и может использоваться в изолированной среде без внешних поисков!

Seahorse [https://github.com/qeeqbox/seahorse] - система ELKFH (Elastic, Logstash, Kibana, Filebeat и Honeypot) для мониторинга инструментов безопасности, взаимодействующих с протоколами HTTP, HTTPS, SSH, RDP, VNC, Redis, MySQL, MONGO, SMB, LDAP.

3) Honeypots:
Chameleon [https://github.com/qeeqbox/chameleon] - 19 конфигурируемых ханипотов для мониторинга сетевого трафика, действий ботов и учетных данных (DNS, HTTP-прокси, HTTP, HTTPS, SSH, POP3, IMAP, STMP, RDP, VNC, SMB, SOCKS5, Redis, TELNET, Postgres, MySQL, MSSQL, Elastic и ldap)

Honeypots [https://github.com/qeeqbox/honeypots] - 23 различных ханипотов в одном пакете PyPI. Они просты в установке и настройке, для запуска honeypot требуется 1-2 секунды.

4) Docker-образы ОС:
Woodpecker [https://github.com/qeeqbox/woodpecker/] - пользовательский дистрибутив для удаленного тестирования на проникновение. Некоторые из оригинальных инструментов Woodpecker заменены на более новые (инициализаторы Tor и VPN). Этот конкретный вариант основан на Ubuntu и прост в обслуживании.

Docker Images [https://github.com/qeeqbox/docker-images] - пользовательские образы, ориентированные на безопасность, доступные через VNC, RDP или веб. Образы были настроены с минимальным графическим интерфейсом и различными настройками для поддержки удаленного доступа.

5) Песочницы:
URL Sandbox [https://github.com/qeeqbox/url-sandbox] - автоматизирует ежедневную задачу анализа URL или доменов внутри компании без взаимодействия с внешними ресурсами. Содержит модуль песочницы, который выполняет анализ в изолированной среде (настраиваемой).

Rhino [https://github.com/qeeqbox/rhino] - Agile Sandbox для анализа вредоносного ПО и поведенческого анализа. Настраивается, расширяется и может быть быстро изменен во время итерации анализа. Вдохновлен методологией Rhinoceros и Agile.