10 лучших инструментов цифровой криминалистики

◾️Autopsy
◾️FTK от AccessData
◾️Wireshark
◾️Volatility
◾️X-Ways
◾️Cellebrite UFED
◾️Magnet AXIOM
◾️EnCase
◾️Sleuth Kit
◾️Oxygen Forensic Detective

Новичок в цифровой криминалистике? Начните с Autopsy и FTK, чтобы создать прочную основу. Используйте Wireshar, чтобы анализировать живой трафик, а Volatility - в качестве ключа для криминалистики памяти и анализа вредоносного ПО.

Для опытных профессионалов EnCase, X-Ways и Cellebrite UFED предлагают более глубокие возможности криминалистической экспертизы для проведения юридических расследований, мобильной криминалистики и обеспечения безопасности.

Добавлю от себя то, что меня никогда не подводило:

◾️Архивариус 3000
◾️Avilla Forensics
◾️ForensicTools
◾️МК Брутфорс Free

🍪 Поддержать канал
📱 НАШИ КОНТАКТЫ

#⃣ #OSINT #FORENSIC

⚙️ SOCMINT: инструменты для поиска информации в социальных сетях.

• Вчера @cybdetective поделилась ссылкой на очень интересный ресурс, где собрано большое количество инструментов и сервисов для поиска информации в социальных сетях. Список состоит из 113 актуальных инструментов с открытым исходным кодом, которые будут полезны OSINT и ИБ специалистам. Однозначно в избранное:

➡️ https://r00m101.com/tools

• Напомню, что дополнительную информацию вы всегда сможете найти в нашей подборке.

S.E. ▪️ infosec.work ▪️ VT

Chiasmodon — это инструмент OSINT, который позволяет пользователям собирать информацию из различных источников и выполнять целевой поиск по доменам, приложениям Google Play, адресам электронной почты, IP-адресам, организациям, URL-адресам и многому другому.

5️⃣ GitHub

🔨 url2png - сервис позволяет сделать скриншот веб-страницы не переходя на нее. Пригодится для фиксации фишинговых и других потенциально опасных ресурсов в сети.

➡️ https://www.url2png.com/

👀 Обновлённая OSINT-подборка ТОП-сервисов и инструментов для ✈️авиамониторинга
▫️ Flightradar24 — популярный веб-сайт для отслеживания полетов в режиме реального времени.
▫️ FlightAware — предоставляет данные отслеживания полетов в реальном времени, за прошлые периоды и прогнозные данные.
▫️ Plane Finder — сервис для отслеживания полетов и информации о воздушных судах.
▫️ Radarbox — сервис отслеживания полетов в реальном времени с глобальным покрытием ADS-B.
▫️ AviationStack — REST API, который даёт в реальном времени статус рейсов и глобальные авиационные данные.
▫️ ADSBExchange — крупнейший в мире источник нефильтрованных данных о рейсах. Использует ADS-B, MLAT и другие источники данных. Особенность и отличие от многих других подобных сервисов (таких как Flightradar24) заключается в том, что он не фильтрует и не скрывает данные.
▫️ Planespotters — информация о самолетах, индекс авиакомпаний и текущее количество самолетов в стране.
▫️ JetPhotos — крупнейшая фотобаза гражданской авиации. Миллионы снимков самолётов, поиск по моделям, рейсам, аэропортам и регистрационным номерам. Популярен у OSINT-энтузиастов.
▫️ OpenSky Network — некоммерческая ассоциация, предоставляющая открытый доступ к данным отслеживания полетов с большой исторической базой данных.
▫️ SkyVector — бесплатный онлайн-планировщик полетов с аэронавигационными картами.
▫️ The Air Traffic — отслеживание авиарейсов с открытыми картами, историей полётов.
▫️ PyOpenSky — библиотека Python, которая предоставляет интерфейс к API реального времени и историческим базам данных OpenSky Network.
▫️ SkyTrack — Python-инструмент для OSINT-разведки по самолётам. Позволяет по tail number или ICAO-коду получить данные о борте (тип, владелец, полёты и др.), а также сгенерировать PDF-отчёт.

⚡️Больше инструментов и полезной информации для исследователей в Лаборатории Russian OSINT

🚧 Seatbelt

Инструмент для аудита безопасности Windows-систем. Написан на C# и выполняет ряд проверок ориентированных на безопасность, как с точки зрения наступательной, так и с точки зрения оборонительной безопасности.

💻 Установка
Установка возможна только с помощью сборки проекта в Visual Studio. Клонируем репозиторий:

git clone https://github.com/GhostPack/Seatbelt.git

Открываем проект через Visual Studio -> Сборка -> Собрать решение. В результате после успешной сборки по пути <...>\Seatbelt\bin\Debug будет находится бинарный файл Seatbelt.exe.

💱 Возможности
Многие команды по умолчанию выполняют фильтрацию. Если указать аргумент -full, вывод не будет фильтроваться. Кроме того, группа команд all выполнит все текущие проверки.

Следующая команда выполнит все проверки и вернет все выходные данные:

Seatbelt.exe -group=all -full

Проверки, связанные с получением данных о системе:

Seatbelt.exe -group=system

Запускает проверки, которые собирают интересные данные о пользователе, вошедшем в систему в данный момент (если права не расширены), или обо всех пользователях (если права расширены):

Seatbelt.exe -group=user

Cледующая команда возвращает код события 4624 (вход в систему) за последние 30 дней:

Seatbelt.exe "LogonEvents 30"

Команды, отмеченные знаком + в меню справки, можно запускать удалённо в другой системе. Это выполняется через WMI с помощью запросов к классам WMI и WMI StdRegProv для перечисления реестра. Следующая команда запускает удалённую проверку удалённой системы:

Seatbelt.exe -group=remote -computername=192.168.230.209 -username=THESHIRE\sam -password="yum \"po-ta-toes\""

Структура Seatbelt полностью модульная, что позволяет добавлять дополнительные командные модули в файловую структуру и загружать их динамически. В .\Seatbelt\Commands\Template.cs есть шаблон командного модуля с комментариями для справки. После сборки необходимо поместить модуль в логическую папку с файлами, включить его в проект в обозревателе решений Visual Studio и скомпилировать.

Pinkerton — проект на Python для сканирования файлов JavaScript и поиска секретов, таких как ключи API, токены авторизации, жестко заданные пароли или связанные с ними данные.

5️⃣ GitHub

Все записи PHDays Fest — уже на видеоплатформах 🤩

Разложили их по плейлистам, чтобы вам было удобно смотреть сотни часов крутейшего контента.

• Научпоп
«VK Видео» / RUTUBE

• Технологии под сомнением
«VK Видео» / RUTUBE

• Лица и грани кибербеза
«VK Видео» / RUTUBE

• Defense
«VK Видео» / RUTUBE

• Offense
«VK Видео» / RUTUBE

• Positive Labs
«VK Видео» / RUTUBE

• Архитектура ИБ
«VK Видео» / RUTUBE

• Development Security
«VK Видео» / RUTUBE

• Development Data
«VK Видео» / RUTUBE

• Open Source & Open Security
«VK Видео» / RUTUBE

• Development Ops
«VK Видео» / RUTUBE

• Devices & Technologies
«VK Видео» / RUTUBE

• Development People & Culture
«VK Видео» / RUTUBE

• ИТ-инфраструктура
«VK Видео» / RUTUBE

• AppSec-воркшопы
«VK Видео» / RUTUBE

• ИБ как она есть
«VK Видео» / RUTUBE

• Лайфхаки SOC
«VK Видео» / RUTUBE

• День инвестора POSI
«VK Видео» / RUTUBE

• Development General
«VK Видео» / RUTUBE

• Школа CISO
«VK Видео» / RUTUBE

• Fast track
«VK Видео» / RUTUBE

• Python Day
«VK Видео» / RUTUBE

• Web3
«VK Видео» / RUTUBE

• AI Track
«VK Видео» / RUTUBE

• Партнерский
«VK Видео» / RUTUBE

Также записи можно найти на нашем YouTube-канале и на сайте.

Приятного просмотра! 🍿

#PHDays
@Positive_Technologies

Spiderfoot

Spiderfoot — Этот пакет содержит инструмент автоматизации разведки с открытым исходным кодом (OSINT). Его цель — автоматизировать процесс сбора разведданных о заданной цели, которая может быть IP-адресом, доменным именем, именем хоста, сетевой подсетью, ASN, адресом электронной почты или именем человека.

SpiderFoot можно использовать в наступательных целях, т. е. как часть теста на проникновение черного ящика для сбора информации о цели.

💡Основные функции:
⏺️Автоматизация сбора данных - Утилита позволяет пользователям автоматизировать процесс сбора информации.
⏺️Интеграция с различными источниками - Утилита поддерживает интеграцию с множеством внешних источников данных.
⏺️Настраиваемые модули - Пользователи могут выбирать и настраивать модули для сбора конкретной информации.
⏺️Поддержка различных форматов вывода - Утилита может экспортировать результаты в различные форматы.

📎Установка:
Инструмент уже предустановлен в Kali Linux, способ установки для других систем:

git clone https://gitlab.com/kalilinux/packages/spiderfoot.git

📌Использование:
1️⃣ Запуск локального web сервера:

spiderfoot -l 127.0.0.1:1488

2️⃣ Переходим по адресу в браузере

http://127.0.0.1:1488

3️⃣ Нажимаем New Scan и вводим имя цели и саму цель
4️⃣ Получаем результат в красивой обёртке

👁 Забудьте о стандартных поисковиках. Настоящие золотые жилы открытой разведки (OSINT) лежат не в индексах Google, а в специализированных системах, сканирующих саму инфраструктуру Интернета. Как специалист по OSINT, я давно перешел от поиска в Google к прямому исследованию сети с помощью мощных инструментов, индексирующих открытые устройства, незащищенные веб-камеры, промышленные системы управления (SCADA), панели VoIP и бесчисленное множество других систем, оставшихся без должной защиты.

◾️Shodan по праву считается "поисковиком для интернета вещей". Индексирует устройства, напрямую подключенные к сети, по их баннерам и открытым портам. Поиск серверов (веб, FTP, SSH), маршрутизаторов, камер, систем "умного дома", промышленного оборудования (SCADA/ICS), баз данных и многого другого по странам, ПО, версиям, уязвимостям. Фильтры (net:, port:, os:, vuln:, has_screenshot:true) позволяют делать невероятно точные запросы.

◾️Censys предоставляет глубокий анализ хостов и сертификатов в интернете. Часто дает более детальную информацию, чем Shodan. Поиск по открытым портам, протоколам, сертификатам SSL/TLS, детальным данным о конфигурации сервисов. Отличный инструмент для обнаружения неожиданно открытых сервисов (например, RDP, S3 buckets), анализа инфраструктуры организации по сертификатам, поиска устаревших или уязвимых систем.

◾️ZoomEye ведущий китайский поисковик по сетевым устройствам и компонентам. Обладает сильной базой по азиатскому региону и уникальными возможностями. Поиск устройств и веб-компонентов (по фреймворкам, CMS, JS-библиотекам). Предоставляет данные о геолокации, операционных системах, сервисах. Особенно полезен для исследования инфраструктуры в Азии и поиска специфических веб-приложений или устройств, которые могут быть хуже представлены в Shodan/Censys.

❗️ Shodan, Censys, ZoomEye, а также Fofa и BinaryEdge – это не просто инструменты, это новые глаза для OSINT-специалиста. Они позволяют видеть Интернет таким, какой он есть на самом деле – гигантской сетью устройств, многие из которых не защищены должным образом. Используйте эти инструменты ответственно, для поиска уязвимостей с целью их устранения или повышения собственной осведомленности о цифровых рисках. Ваши находки могут стать критически важными для безопасности.