July 13, 2020

CSI Linux - монстр для OSINT разведки

Всем салют, дорогие друзья!
Сегодня мы с вами поговорим о новом CSI Linux, разработанным настоящими детективами для киберкриминалистического расследования. Это один из лучших дистрибути́вов для OSINT разведки, реверс инженеринга и выявления вторжений, содержащий безумные количества всеможножных профильных утилит, как для работы в клирнете, так и для расследования в даркнет сетях.

Предисловие

От большого брата теперь не скрыться. Тысячи виртуальных "глаз" следят за вами и создают подробное цифровое досье, которое можно купить, продать или даже украсть. Умные игрушки, видео-няни собирают данные об увлечениях детей и отправляют производителям. Умная цифровая техника собирает данные и предоставляет ваши секреты корпорациям. В любой момент кто-то может перехватить контроль над вашим автомобилем или смартфоном. Вам кажется, что на вас это никак не отразится, но знайте — ваша цифровая тень уже в зоне риска, страховщики изучают ваш образ жизни, чтобы определить условия страхования, медучереждения вычисляют приблизительный год, когда вы умрёте, чтобы понять стоит ли вас лечить, изучая ваши действия в сети специалисты внушают вам чему верить и за кого голосовать. Ценность вашей жизни измеряется в байтах. Таков новый порядок, выйти из системы невозможно, но есть те, кто готов защищать свободу до последнего: активисты, разоблачители, хакеры.
Всё это — серьёзная проблема для новой элиты.
Кто все эти люди: угроза или последний шанс простых людей отстоять свободу?

CSI Linux | Структура

Итак, возвращаясь к теме моей статьи.

  • CSI Linux представляет из себя слияние целых 3 операционных систем, которые распространяются в виде образа виртуальных машин.
  • Для системы требуется большой объём: как минимум 50 гб для запуска образа и не менее 8 гб оперативной памяти для полноценного функционирования.
  • Вся система разделена на: CSI Linux Analyst, CSI Linux Gateway и CSI Linux SIEM.

CSI Linux Analyst — это основная рабочая станция для расследований, она используется для цифровой криминалистики, содержит инстументы для расследования, сбора, анализа и составления отчётов об инцидентах.

CSI Linux Gateway — отправляет весь трафик от CSI Linux Analyst через сеть Tor, чтобы скрыть исходный ip адрес для дополнительной безопасности, а также используется чтобы взаимодействовать с даркнет сервисами и проводить их разведку.

CSI Linux SIEM — используется для реагирования на инценденты и обнаружение вторжения, если наша система скомпрометирована, мы можем использовать инструмент SIEM для проверки уязвимости системы.

CSI Linux Analyst | Основная рабочая станция

Начнём с основной системы.

CSI Linux Analyst имеют удобное графическое окружение, внизу системы расположена панелька с основными утилитами. Во первых тут 3 браузера: хром, файрфокс и тор браузер.

За ними следует утилита OnionShare — это инструмент для относительно анонимного и безопасного обмена файлами через сеть tor, onion share запускает на локальной системе web сервер, он работает в форме скрытого сервиса tor, делает его доступным для других нужных нам пользователей, которые могут скачать раздаваемые нами файлы.

Вслед за этой утилитой следует программа KeePassXC — это менеджер хранения паролей, где мы можем создавать базу и в ней хранить безопасно пароли от различных сервисов и держать всё в зашифрованном виде.

Затем мы можем наблюдать GNU Privacy Assistant — он представляет собой графический интерфейс для GNUPG, он необходим для генерирования, хранения и работы с различными ключами шифрования.

Далее идёт мессенджер qTox — он нужен для децентрализованной текстовой, голосовой и видео связи на основе ассиметричного шифрования, а также мессенджер Pidgin — с помощью него вы можете выстроить конфиденциальное общение по различным непрослушиваемым протоколам.

Затем начинаются профильные программы нашего дистрибутива.

  • Первая из них Hunchly, она представляет из себя специализированный инструмент для захвата вебстраниц, предназначена для проведения исследования OSINT, она будет сохранять и каталогизировать веб-страницы, фотографии, файлы, метаданные, иными словами всё, что вы будете использовать в рамках своего расследования, тем самым облегчая вам поиск цифровых доказательств, но и предотвращая их утерю если эти данные доказательства будут удалены из общего доступа.
  • Следующий профессиональный инструмент — Social Media Search Application это специальный скрипт, объединяющий в себе инструменты пробива и поиска по нику, имени,фамилии, номера мобильного телефона на предмет упоминания в различных социальных сетях, популярных сервисах и сайтах.
  • Если вам знакомы такие инструменты как Sherlock, SpiredFoot и похожие, то все их вы здесь найдёте. А если вам понадобится информация о сайте или домене, то на выручку вам придёт программа Domain Interrogation Tool, в свою очередь тут вы найдёте трек для сбора всех поддоменов нужной цели, хардвёрс, metagootfil для извлечения метаданных публичных документов, которые расположены на исследуемом сайте. Все эти программы присутствуют в данном скрипте.
  • Затем у нас следует знаменитое Maltego, наверное, самый популярный инструмент для построения и анализа связей между различными объектами расследования, визуализации данных и разведки на основе открытых источников OSINT. Если вам нужно выявить какие-то взаимосвязи между сайтами, компаниями, ip адресами, номерами телефонов или ещё какие-либо данными, то Maltego — отличный инструмент в вашем расследовании.
  • Далее у нас идут уже инструменты форензики и киберкриминалистики. Autopsy — это инструмент с открытым исходным кодом, он используется полицией, военными или корпаративными экспертами для расследования того, что произошло на компьютере, полезно если вам необходимо обнаружить удалённые файлы жёсткого диска, извлечь историю браузера или куки, найти методанные на фото, отсортировать файлы на диске по определённым характеристикам, с этой штукой даже можно восстановить удалённые видео с карт памяти видеокамер и телефонов, это весьма полезно при определённых обстоятельствах.
  • Следующий инструмент в моём обзоре прямиком из агенства национальной безопасности США, это — Ghidra.
    Ghidra — платформа для реверс инженеринга, программное обеспечение разработанное АНБ, оно помогает анализировать вредоносные код и вредоносные программы, может дать понимание потенциальных уязвимостей в сетях и системах. Её возможности включают разборку, сборку, декомпеляцию, создание графиков или сценариев, в общем широкий простор для инженеров обратной разработки.


В CSI Linux также присутствуют и более повседневные программы:

CherryTree — приложения для создания иерархических заметок и пакета программ LibreOffice для работы с офисными документами.

CSI Linux Gateway | Шлюз TOR


Мы плавно подошли к кнопкам управления трафика, а именно мы можем перенаправлять весь наш трафик от машины CSI Analyst в машину Gateway CSI, которая является шлюзом в сеть tor.
Cхожая реализация была в системе Whonix. Для этого просто запускаем Gateway, как дополнительную машину, а после активируем, далее поменяется картинка рабочего стола, это сделано для удобства и дабы вы не запутались куда именно течёт ваш трафик, а на выходе мы будем иметь ip адрес tora. Кроме того, что теперь все наши разведывательные действия приобрели плюс к анонимизации, теперь все наши инструменты о которых я рассказывал ранее можно применить и для расследования внутри сети tor, анализа даркнет сайтов и их пользователей. Когда же мы захотим пользоваться обычным клирнетом, то мы можем снова вернуть всё на место, деактивировав скрипт одним нажатием.

CSI LINUX SIEM | Мониторинг и проверка уязвимостей

Теперь мы подошли к использованию CSI LINUX SIEM. Запустив её и CSI Analyst вместе, а также активировав специальный скрипт для маршрутизации трафика, мы можем использовать встроенную программу Kibana. Она создана для использования и мониторинга, анализа it инфраструктуры, а также alastic search для проверки уязвимости всей системы.

Помимо всех перечисленных инструментов, CSI Linux также хранит в себе безумно большое количество инструментов для OSINT разведки, конфиденциального общения, скрипты для работы с сетями i2p, freenet, криптокошельки, инструменты для брутфорсинга учётных записей пользователя и для парольных фраз, для доступа к криптоконтейнеру. Далее, тут есть интументы для криминалистической экспертизы, мобильных устройств и ещё множество инструментов безусловно достоенных вашего внимания.

В конце статьи хотелось бы сказать, CSI Linux на сегодняшний момент безусловно является одним из лучших дистрибутивов для нетсталкеров, мастеров пробива или хакеров.

Конечно, он достаточно сложен в освоении, большой по объёму и требователен к железу, однако, это всё же того стоит, а реализация за счёт гипервизора, как вы уже могли заметить, близка к моим личным предпочтениям. Надеюсь, что данная статья побудит вас попробовать этого разведовательного монстра в действии.

Также выложу для вас ссылки которые помогут разобраться немного с CSI Linux и его утилитами.

Это лишь несколько инструментов, само собой там их намного больше.

СПАСИБО ЗА ВНИМАНИЕ, ДОРОГИЕ ДРУЗЬЯ!


⚠️Если ты хочешь стать настоящим киберпреступником и хакером, стабильно набивать свои карманы котлетами — добро пожаловать в Hacker Place Academy

🔥Хочешь легально и без вложений зарабатывать от 100.000 в месяц - залетай в Hacker Place Private