23 безкоштовних інструменту розслідування інцидентів для фахівця з інформаційної безпеки



Витоку даних відбуваються майже кожен день. Згідно індексу витоку даних, з 2013 року понад 4,762,376,960 записів було загублено або вкрадено.



Найбільш великі витоку даних відбулися в:

  • JP Morgan Chase
  • Bank of America
  • HSBC
  • TD Bank
  • Target
  • Tumbler
  • Home Depot
  • MySpace
  • eBay
  • Adobe System Inc
  • iMesh
Juniper Research передбачає, що до 2019 року збитки від кіберзлочинів складе більше 2 трильйонів доларів. Тому попит на криміналістичний аналіз буде продовжувати рости.

Програмні засоби — кращі друзі системного адміністратора, а використання відповідного інструменту допоможе швидше і продуктивніше працювати.

Розслідування інцидентів — завдання не з простих, адже потрібно зібрати якомога більше інформації, щоб заручитися доказами і розробити план ліквідації наслідків. Нижче я опишу кілька корисних інструментів для розслідування інцидентів. Більшість з них безкоштовні!

Список інструментів:
  1. Autopsy
  2. Encrypted Disk Detector
  3. Wireshark
  4. Magnet RAM Capture
  5. Network Miner
  6. NMAP
  7. RAM Capturer
  8. Forensic Investigator
  9. FAW
  10. HashMyFiles
  11. USB Write Blocker
  12. Crowd Response
  13. NFI Defraser
  14. ExifTool
  15. Toolsley
  16. SIFT
  17. Dumpzilla
  18. Browser History
  19. ForensicUserInfo
  20. Back Track
  21. Paladin
  22. Sleuth Kit
  23. CAINE
1. Autopsy
Autopsy — програма з відкритим вихідним кодом і графічним інтерфейсом для ефективного криміналістичного дослідження жорстких дисків і смартфонів. Тисячі людей користуються Autopsy, щоб розібратися в тому, що ж дійсно сталося з комп'ютером.



Фахівці великих компаній і військові широко застосовують Autopsy в роботі. Нижче деякі з функцій Autopsy:

  • аналіз електронних листів;
  • визначення типу файлу;
  • відтворення мультимедіа;
  • аналіз реєстру;
  • відновлення фотографій з карти пам'яті;
  • витяг інформації про геолокаціі і фотоапараті з JPEG-файлів;
  • витяг даних про мережної активності з браузера;
  • відображення системних подій в графічному інтерфейсі;
  • хронологічний аналіз;
  • витяг даних з пристроїв на Android: SMS, журнал дзвінків, контакти, і т. д.
За допомогою інструменту можна генерувати звіти у форматах HTML, XLS.

2. Encrypted Disk Detector
Encrypted Disk Detector може допомогти провести аналіз зашифрованих жорстких дисків. Програма працює з розділами, зашифрованих за допомогою TrueCrypt, PGP, Bitlocker, Safeboot.

3. Wireshark
Wireshark — це інструмент захоплення і аналізу мережевих пакетів, який допоможе спостерігати за подіями у вашій мережі. Wireshark нагоді при розслідуванні мережевого інциденту.

4. Magnet RAM Capture
Magnet RAM capture дозволяє отримати знімок оперативної пам'яті і проаналізувати артефакти в пам'яті. Програма працює з ОС Windows.

5. Network Miner
Цей цікавий інструмент мережевого криміналістичного аналізу для Windows, Linux і MAC OS X дозволяє визначити операційну систему, ім'я хоста, виявити сесії і відкриті порти за допомогою аналізатора трафіку або PCAP-файлу. Network Miner відображає витягнуті артефакти в інтуїтивно зрозумілому інтерфейсі.



6. NMAP
NMAP (Network Mapper) — це один з найбільш популярних інструментів для аудиту мережевої та інформаційної безпеки. NMAP сумісний з більшістю операційних систем, включаючи Windows, Linux, Solaris, MAC OS, HP-UX і т. д. Програма з відкритим вихідним кодом, так що вона безкоштовна.

7. RAM Capturer
RAM Capturer by Belkasoft — це безкоштовний інструмент для створення дампа даних енергозалежною пам'яті комп'ютера. Програма сумісна з Windows. Дамп пам'яті може містити знаходяться на зашифрованих томах паролі і дані для входу в електронну пошту або соціальні мережі.

8. Forensic Investigator
Якщо ви використовуєте Splunk, Forensic Investigator вам стане в нагоді. Це додаток для Splunk виконує безліч функцій.



  • запити WHOIS/GeoIP;
  • Ping;
  • сканер портів;
  • складальник заголовків;
  • аналізатор/декодувальник URL;
  • XOR/HEX/Base64 конвертер;
  • перегляд SMB Share/NetBIOS;
  • перевірка Virus Total.
9. FAW
FAW (Forensics Acquisition of Websites) використовується для збору даних про веб-сторінці в цілях подальшого дослідження. В інструменті реалізовано наступне:

  • збереження сторінки частково або повністю;
  • збереження всіх видів зображень;
  • збереження вихідного HTML код веб-сторінки;
  • робота з Wireshark.


10. HashMyFiles
HashMyFiles допоможе вам обчислити хеш MD5 і SHA1. Інструмент працює майже на всіх останніх версіях Windows.



11. USB Write Blocker
Перегляньте вміст USB-накопичувача, не залишаючи відбитків, метаданих і міток часу. USB Write Blocker використовують реєстр Windows для захисту від запису на USB-пристрої.



12. Crowd Response
Response від Crowd Strike — це додаток для Windows, призначена для збору системної інформації з метою реагування на інцидент і підвищення рівня безпеки. Результати можна представити у форматах XML, CSV, TSV або HTML за допомогою CRConvert. Програма працює на всіх 32 — і 64-розрядних версіях Windows, починаючи з XP.

У Crowd Strike є й інші непогані інструменти для проведення розслідування:

  • Tortilla дозволяє анонімно маршрутизувати TCP/IP та DNS трафік через TOR;
  • Shellshock Scanner – перевірити мережу на наявність shellshock вразливостей;
  • Heartbleed scanner – перевірити мережу на наявність heartbleed уразливості OpenSSL.


13. NFI Defraser
Defraser — це інструмент для досліджень, який може вам допомогти у виявленні файлів мультимедіа або їх фрагментів в інформаційному потоці.

14. ExifTool
За допомогою ExifTool можна зчитувати, записувати і редагувати метадані різних видів файлів, у тому числі EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, Photoshop IRB, FlashPix, і т. д.

15. Toolsley
Toolsley пропонує більше десятка корисних інструментів розслідування:

  • верифікація цифрового підпису файлів;
  • ідентифікація формату файлу;
  • хешування та перевірка файлів;
  • інспектор бінарних файлів;
  • шифрування тексту;
  • генератор URI даних;
  • генератор паролів.
16. SIFT
SIFT (SANS investigative forensic toolkit) — робоча станція, вільно доступна для Ubuntu 14.04. SIFT — це набір корисних інструментів аналізу і одна з найбільш популярних платформ реагування на інциденти з відкритим вихідним кодом.



17. Dumpzilla
Виймайте всю цікаву для вас інформацію з браузерів Firefox, Iceweasel і Mozilla за допомогою Dumpzilla.



18. Browser History
У Foxton є два цікавих інструменту:

  1. Збереження історії браузера (Chrome, Firefox, IE і Edge) для Windows;
  2. Перегляд історії браузера. Можна отримати і проаналізувати історію дій в більшості сучасних браузерів. Результати відображаються на інтерактивному графіку, а дані за минулі періоди можна відфільтрувати.
19. ForensicUserInfo
Скориставшись ForensicUserInfo ви зможете отримати наступну інформацію:

  • RID;
  • LM/NT хеш;
  • зміна пароля, термін дії облікового запису;
  • кількість входів до системи, дати невдалих спроб;
  • групи;
  • шлях до профілю.
20. Back Track
Backtrack — це одна з найпопулярніших платформ для перевірки вразливості, але в ній реалізовані і функції криміналістичного аналізу.

21. Paladin
PALADIN Forensic Suite — самий популярний набір криміналістичних інструментів для Linux у світі, що представляє собою модифікований дистрибутив Linux, заснований на Ubuntu і доступний в 32 — і 64-розрядних версіях.



У Paladin входить більше 100 інструментів, які згруповані в 29 категорій. Це майже все, що вам потрібно, щоб розслідувати інцидент. Autospy входить в останню версію — Paladin 6.

22. Sleuth Kit
The Sleuth Kit — це набір інструментів командного рядка, призначених для вивчення та аналізу логічних дисків і файлових систем, щоб знайти даних.

23. CAINE
CAINE (Computer Aided Investigate Environment) — це дистрибутив Linux, який пропонує повноцінну експертну платформу з більш ніж 80 інструментами для аналізу, дослідження і формування звітів про дії.



Сподіваюся, що вищевказані інструменти допоможуть вам впоратися з інцидентом і прискорити розслідування.

За традицією запрошую всіх, хто цікавиться заглянути в наше HOSTING.cafe та вибрати собі сервер або віртуальний хостинг. Відгуки про хостерах зібрані на POISK.hosting.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.