Перевод старой статьи [https://habr.com/ru/post/523054/], который может быть полезен для криминалистов, работающих с различными носителями данных. Судя по комментариям, автор статьи никто иной, как легенда своего времени Dejan Kaljevic (https://ru.wikipedia.org/wiki/Калевич,_Деян)

В конце декабря прошлого года, после почти 4 годичного перерыва обновился один из самых популярных сетевых снифферов - Intercepter NG… И в честь этого, знаменательного события, мы пригласили одного из самых видных экспертов в области MITM атак и по совместительству, автора этого легендарного инструмента - Ares -а

В четверг, 20 января, в 20.00 по МСК на канале t.me/ForensicTools

Свой вопрос вы можете задать лично во время эфира или по традиции - в комментариях к этому посту!

Linux_Forensic_Harvester
[https://github.com/theflakes/Linux_Forensic_Harvester]

Инструмент быстрой сортировки для Linux тачек, который проверяет метаданные каталогов и файлов. Содержимое некоторых файлов исследуется в поисках других интересных строк. Например, если в файле есть ссылка на другой файл, метаданные этого файла также будут получены. О других интересных строках, найденных в содержимом файлов, также сообщается: IP, пути к файлам, URL, шеллкод, кодировки Base64 и misc, а также пути UNC. Утилита выводит очень много данных, поэтому я бы добавил вывод в какой-нибудь ELK.

• Добавлен разбор виртуальной файловой системы procfc для получения информации о процессе
• Отчет о принадлежности к локальным пользователям, /etc/passwd, и группам, /etc/groups
• Идентификация "интересных" записей журнала
• Обнаружение web-shell
• История команд
• Setuid / setgid

#linux #rust #triage

reg_hunter
[https://github.com/theflakes/reg_hunter]

Инструмент криминалистики реестра Windows. Помимо функционала обычного просмотра и поиска ключей и веток ресстра, имеет ряд удобного для криминалитса функционала.

• Выходные данные представлены в формате JSON с разграничением строк.
• Позволяет выводить только те ключи и значения реестра, которые могут быть полезны криминалисту.
• Поиск MZ-заголовков, командных оболочек, lnk-файлов, email, IPv4-адресов, сценариев и многого другого
• Имеет вывод результатов по сети, что может быть удобно в корпоративной сети.
• Возможно задать временное окно, по которому будут выведены только те ключи, которые были записаны в указанном интервале.

#registry #windows #rust

Очень интересный набор проектов от команды QeeqBox, для Red, Blue и Purple команд с отличным функционалом и удобным интерфейсом
[https://qeeqbox.com/]

1) ОSINT инструменты:
Social Analyzer [https://github.com/qeeqbox/social-analyzer] - API, CLI и веб-приложение для анализа и поиска профиля человека в более чем 1000 социальных сетях \ веб-сайтах. Он включает в себя различные модули анализа и обнаружения, и вы можете выбрать какие модули использовать в процессе расследования.

Osint [https://github.com/qeeqbox/osint] - инструменты и API OSINT на основе пакета python. Он включает различные модули OSINT (Ping, Traceroute, Scans, Archives, DNS, Scrape, Whois, Metadata) для проведения разведки цели, а также встроенную базу данных для отображения и визуализации некоторых результатов разведки.

2) Анализаторы угроз:
Mitre Visualizer [https://github.com/qeeqbox/mitre-visualizer] - интерактивный граф, визуализирующий матрицу MITRE
(https://qeeqbox.github.io/mitre-visualizer/)

Analyzer [https://github.com/qeeqbox/analyzer] - анализатор угроз внутри компании без взаимодействия с внешними ресурсами. Он анализирует, визуализирует и структурирует конфиденциальные файлы (вредоносные программы) или данные путем извлечения функций, артефактов и IoC с использованием различных модулей. Выходные данные этих модулей могут быть легко интегрированы в исследовательские платформы или платформы SOC.

Raven [https://github.com/qeeqbox/raven] - Карта киберугроз (Упрощенная, настраиваемая и отзывчивая. Она использует D3.js с TOPO JSON, имеет 247 стран, ~100,000 городов и может использоваться в изолированной среде без внешних поисков!

Seahorse [https://github.com/qeeqbox/seahorse] - система ELKFH (Elastic, Logstash, Kibana, Filebeat и Honeypot) для мониторинга инструментов безопасности, взаимодействующих с протоколами HTTP, HTTPS, SSH, RDP, VNC, Redis, MySQL, MONGO, SMB, LDAP.

3) Honeypots:
Chameleon [https://github.com/qeeqbox/chameleon] - 19 конфигурируемых ханипотов для мониторинга сетевого трафика, действий ботов и учетных данных (DNS, HTTP-прокси, HTTP, HTTPS, SSH, POP3, IMAP, STMP, RDP, VNC, SMB, SOCKS5, Redis, TELNET, Postgres, MySQL, MSSQL, Elastic и ldap)

Honeypots [https://github.com/qeeqbox/honeypots] - 23 различных ханипотов в одном пакете PyPI. Они просты в установке и настройке, для запуска honeypot требуется 1-2 секунды.

4) Docker-образы ОС:
Woodpecker [https://github.com/qeeqbox/woodpecker/] - пользовательский дистрибутив для удаленного тестирования на проникновение. Некоторые из оригинальных инструментов Woodpecker заменены на более новые (инициализаторы Tor и VPN). Этот конкретный вариант основан на Ubuntu и прост в обслуживании.

Docker Images [https://github.com/qeeqbox/docker-images] - пользовательские образы, ориентированные на безопасность, доступные через VNC, RDP или веб. Образы были настроены с минимальным графическим интерфейсом и различными настройками для поддержки удаленного доступа.

5) Песочницы:
URL Sandbox [https://github.com/qeeqbox/url-sandbox] - автоматизирует ежедневную задачу анализа URL или доменов внутри компании без взаимодействия с внешними ресурсами. Содержит модуль песочницы, который выполняет анализ в изолированной среде (настраиваемой).

Rhino [https://github.com/qeeqbox/rhino] - Agile Sandbox для анализа вредоносного ПО и поведенческого анализа. Настраивается, расширяется и может быть быстро изменен во время итерации анализа. Вдохновлен методологией Rhinoceros и Agile.

YouTube канал нашего друга и по совместительству, соведущего прямых эфиров на канале - Валентина Попова [ @Valentain86 ] про технические системы безопасности:
[ www.youtube.com/c/Valentain86 ]

Все ресурсы нашего Уважаемого гостя вчерашнего эфира Ares [ @intercepterng ] - создателя Intercepter NG:

[ Sniff.su ] - основной сайт проекта.
[ t.me/cepter ] - канал Intercepter NG в Telegram
[ t.me/cepter_chat ] - чат Intercepter NG в Telegram
[ twitter.com/IntercepterNG ] - Официальный Twitter
[ https://www.youtube.com/channel/UCASO974HOWvcgjf-UFz_bHg ] YouTube канал Ares -а

Наш второй проект- канал t.me/NetSurvivalist и у него есть чат
https://news.1rj.ru/str/NetSurvChat

BeholderIsHere Дайджест - Тренируем пользователей реагировать на фишинг при помощи фишинга.

На «Безопасной среде» от КОД ИБ [ @codeibcommunity ] говорили сегодня про обучение сотрудников и повышение их осведомленности… Ну другими словами про то как их тренировать по системе Павлова, чтоб не открывали что попало из почты и не вбивали свои ( ну и конечно корпоративные данные в это же - «куда попало».

И в очередной раз убедились, что способов, кроме как регулярно проводить учение и (главное!) контроль за усвояемостью материала можно только проводя регулярные фишинговый компании силами самих безопасников. Только делать это с пониманием! Ну и собственно, к вашему вниманию специально для канала t.me/ForensicTools четыре инструмента для проведения учебных (!) фишинговый атак, на которые стоит обратить внимание!


SocialFish
[ github.com/UndeadSec/SocialFish ]

Инструмент для создания фишинговых рассылок, написанный на Python’e, а значит простейшим образом кастомизируется под любые нужды создания фишинговых страниц.

Из приятного:
⁃ Позволяет создавать страницы аутентификации Facebook, Google, LinkedIN, Гитхаб, Stackoverflow, WordPress.
⁃ Имеет мобильное приложение для удаленного доступа к инструменту, что прям очень удобно.
⁃ Встроенный сервер ( не надо размещать формы приманки где-то удаленно)

Из неприятного:
⁃ Требует хотя бы начальные знания работы с Linux
⁃ Не так просто в установке.


LitePhish
[ https://github.com/graysuit/LitePhish ]

Прост и минималистичен. Панель администратора собрана максимально упрощена. Но при этом, все равно сделан под Линуксоидов (так что те же самые минимальные знания этих операционной необходим). Как по мне, то идеально подойдет для red team исследований, чем для учебных компаний.

Из приятного:
⁃ Почти все шаблоны имеют размер менее 20 КБ.
⁃ Веб-страницы сохраняются в режиме offline.
⁃ Изображения кодируются в base64, чтобы избежать лишних линков.
⁃ Фишинговые страницы настраиваются так, что форму входа нельзя обойти, пока все данные не будут заполнены жертвой.
⁃ Регистрирует все пользовательские данные с помощью iplogger.
⁃ Может отправлять данные в discord, telegram.


Gophish
[ getgophish.com ]

Очень удобный и простой в установке инструмент для проведения учебных фишинговый атак. Устанавливается буквально в один клик и очень легко настраивается на Windows/Linux/macOS Компьютерах.

Из приятного:
⁃ Отличный интерфейс, максимально наглядно показывающий ход проведения учебной атаки. Позволяющий просматривать результаты как в реальном времени, так и в виде удобных и информативных отчетов.
⁃ Все события можно отсортировать по времени, кликам по ссылкам, отправленной пользователями информации и многим другим параметрам.

Самый красивый и простой в установке инструмент в нашем дайджесте.


King Phisher
[ https://github.com/rsmusllp/king-phisher ]

Еще один максимально простой и удобный для использования инструмент. Не такой красивый как Гофиш, но делать может гораздо больше, позволяя полностью контролировать проведения атаки ( или нескольких, ибо позволяет делать несколько параллельно).

Что же он умеет:
- Запускать одновременно несколько фишинговый атак
- Двухфакторная авторизация
- Собирать учетные данные пользователей с целевых страниц
- Клонировать вебсайты
- Показывать геолокации испытуемых
- Отправлять почту с приглашениями в календари
- Отправлять sms о результатах проведения атак
- Имеет большое количество расширений собственного функционала
- Имеет большое количество настраиваемых шаблонов для имитации страниц и официальных писем.

Живет по Windows и Linux

——
Как резюме: последние два решения- однозначно must have! Сам пользую по старинке King Phisher для исследований.

Скоро...

В самом начале жизни этого канала, я писал уже про прекрасный сервис SunCalc [ https://news.1rj.ru/str/forensictools/31 ] Помогающий OSINT - исследования местоположения по расположению солнца на фотографии . Изумительная вещь, созданная изначально для фотографов, но прекрасно подходящая для пытливых умов разведчиков. Были примеры когда при помощи него вычисляли точное местоположение, вплоть до этажа отеля, по фото с зашторенными окнами, где просто свет из окна падал на предмет мебели. Сегодня предлагаю обратить внимание на его собрата. Правда не такого информативного как SunCalc, но весьма наглядного и удобного в практическом плане, если речь идет о местах с городской застройкой.

Shademap
[ shademap.app ]

По сути это карта движения теней, которая учитывает все здания и городской рельеф, показывая расположение тени, как в реальном времени, так и на любые выбранные дату и время. В наличии очень интуитивный интерфейс и режим 3D- карты.

Однозначно мой выбор для работы с изображениями городского рельефа.

В продолжение темы гео-OSINT: хорошая книжка выложенная на канале @freedomf0x - АЛГОРИТМЫ ГИС: Теория и применения геоинформационных систем и технологий. Однозначно к прочтения тем, кто хочет углубить собственные знания в этом вопросе!

P.S. Редакция нашего канала против пиратства! Понравилась книжка- найди и купи! Поддержи рублём авторов и издателей!

https://news.1rj.ru/str/freedomf0x/15369

То, чего вы так просили - запись стрима с Уважаемым Ares!

2 часа 50 минут ! Долго, но местами безумно интересно!

https://youtu.be/hLZoZonAR0A

Есть решения, которые вроде и просты на первый взгляд, но добавляют ту самую изюминку, в казалось бы в привычные вещи, которая вызывает некий внутренний восторг. И это как раз про то самое…

ꓘamerka
[ github.com/woj-ciech/Kamerka-GUI ]

По сути, это такой GUI натянутый на Shodan с очень приятными дополнениями и поддержкой Binary Edge и WhoisXMLAPI в придачу.

Что собственно говоря делает- просто ищет различные устройства с смотрящие в мир своими сетевыми интерфейсами, показывает что это за устройства, какие уязвимости на них эксплуатируются (с перечнем по кажому) показывает географическое расположение (там, где это возможно) и рисует красивые картинки со статистикой и общими отчетами.

По-факту, может служить как и хорошим OSINT- инструментом, так и неплохой тестовой платформой.

P.S. Развернул на тестовом инстанс и с удовольствием играюсь уже пару дней!

P.S.S. Пожмакать кнопочки (чтоб проникнуться красотой) перед установкой можно на демке тут: [ woj-ciech.github.io/kamerka-demo/kamerka.html ]