Csi linux что это

CSI Linux: linux-дистрибутив для кибер-расследований и OSINT

Краткое описание

CSI Linux Investigator представляет собой сборку линукс-дистрибутивов, базирующихся на операционной системе Ubuntu, с предустановлеными пакетами специализированного программного обеспечения. Распространяется сборка в виде OVA-файла, который без проблем импортируется в Oracle VM Virtual Box.

Данный linux-дистрибутив содержит программное обеспечение, необходимое для решения следующих задач:

• OSINT
• Digital Forensics
• Incident Response
• Malware Analysis

Загрузить дистрибутив можно по ссылке с официального сайта. Там же размещены обзорные гайды и мануалы по работе с дистрибутивом.

Структура и состав

CSI Linux Analyst — это «ядро» данного дистрибутива. Представляет собой виртуальную машину ubuntu-дистрибутива с большим количеством предустановленного программного обеспечения, сгруппированного по категориям:

• OSINT/Online Investigations
• Secure Comms
• Encryption
• Dark Web
• Incident Response
• Computer Forensics
• Mobile Forensics
• CSI Tools

Подробный перечень установленного софта приведен на странице оф. сайта Tools List.

Личное мнение и полезные ссылки

Обзорную статью на CSI Linux Investigator хотел бы завершить личным мнением и дать пару советов по работе с данным дистрибутивом.

Сборка CSI Linux Investigator не первая в своем роде, у нее есть свои плюсы и минусы.
В данном дистрибутиве мне понравилось разделение виртуальных машин на три составляющие — непосредственно дистрибутив, шлюз TOR и SIEM-сборку.

С точки зрения наполнения сборки софтом — мнение двойственное, с одной стороны есть все необходимое, с другой стороны — много лишнего программного обеспечения, которое пагубно влияет на размер дистрибутива.

Если проводить аналогии с другими дистрибутивами под данные цели, то получается следующее:

CSI Linux Analyst получился комбинированной версией дистрибутивов SIFT, Buscador и Caine.

CSI Linux SIEM по целям и задачам схож с Security Onion, а CSI Linux Gateway с Whonix Gateway.

Источник

CSI Linux. Полное руководство по OSINT. Часть 1. Domain Tools

Привет, друг. Ты наверняка знаешь, что в начале 2020 года появился дистрибутив Linux под названием CSI Linux Investigator. Который позиционируется как площадка для проведения расследований. Я изначально хотел сделать просто обзор этой системы, но потом пришло понимание, что этот обзор получится максимально поверхностным. Ведь если рассказывать просто про дистрибутив, то вряд ли получится рассказать что-то новое, а, учитывая специфику встроенных утилит, посмотреть их поверхностно тоже не вариант, просто потому, что ничего не будет понятно.

Что касается самого дистрибутива. То историю со шлюзом мы уже видели в Whonix (обзор ЗДЕСЬ). В CSI принцип очень похож, весь трафик также перенаправляется через сеть Tor. Правда стоит отметить, что в CSI Linux добавили ещё одну виртуальную машину SIEM. Она тоже используется для защиты других виртуальных машин т.е. работает как IDS (система обнаружения вторжений), а ещё может работать с логами. Но все это нюансы и уделять им отдельное внимание я не вижу смысла. Гораздо интереснее посмотреть наполнение этого дистрибутива и познакомиться с утилитами в нем, а там есть на что посмотреть. Особенно с точки зрения OSINT, да и для пентеста, с позиции предварительной разведки, будет не лишним. А потому в этой статье мы разберем утилиты находящиеся в разделе OSINT дистрибутива CSI Linux Investigator, посмотрим для чего они нужны и научимся их использовать.

Итак, раздел OSINT/Online Investigations. Здесь собрано довольно большое количество всяких утилит которые будут очень полезны, как при проведении предварительной разведки так и при проведении полноценного расследования. Конечно, некоторые из них носят довольно таки ситуативный характер, но знать о их существовании точно нужно, потому что в какой-то момент они могут сэкономить нам кучу времени и сил.

Ну, а начнем мы с подраздела Domain Tools.

Содержание:

CSI Domain Search Tools

Начать рассмотрение этого раздела нужно именно с пункта CSI Domain Search Tools. Это одна из отличительных возможностей этого дистрибутива. Нажав на этот пункт меню нам предложат создать то, что здесь называется кейс. Это что-то типа, рабочего проекта. Изначально нам будет предложено ввести название будущего кейса, а потом выбрать инструмент который мы хотим использовать. После этого вводим цель и CSI Linux автоматически запустит выбранную нами утилиту. При это в домашней паке пользователя, в каталоге Cases, будет создана папка нашего кейса, куда будут сохранены все отчеты.

DNSRecon

DNSRecon -это утилита для проверки dns-записей и перебора поддоменов исследуемой цели. При запуске мы видим справку:

В первую очередь эта утилита будет полезна именно для перечисления dns-записей целевого ресурса. И с этой задачей dnsrecon справляется на отлично. Самым простым, ну и, наверное, самым распространенным вариантом её использования будет запуск для просмотра всех записей. Для этого после параметра -d просто указываем нужный сайт, если надо (как правило не надо) можно задействовать возможности поисковых систем:

Бонусная возможность этой утилиты это брутить поддомены. Но это дело вкуса, и как по мне, для этих целей существуют более интересные инструменты (тот же Knock, например).

GetLinks

GetLinks — это утилита для сбора ссылок с целевого сайта, имеет всего три параметра для запуска:
-d — собрать ссылки на доменты
-i — собрать только внутренние ссылки
-x — собрать только внешние ссылки

GoBuster

GoBuster — это инструмента для брута, который имеет три режима:
dir — брут каталогов и файлов на целевом сайте
dns — перебор поддоменов
vhost — перебор имен виртуальных хостов на сайте

Справка по использованию GoBuster вызывается командой:

Использовать GoBuster довольно просто. По умолчанию задействован режим dir, потому если мы ищем фалы или каталоги то выбирать режим не нужно. Используя параметр -u указываем целевой сайт, а после параметра -w указываем путь к словарю. После чего запускаем и ждем пока GoBuster переберет варианты. Также можно немного модифицировать команду, например используя параметр -a установить User-Agent. Либо, если мы ищем файлы с каким-то конкретным расширением, то добавляем параметр -x после которого указываем расширение, например -x pdf.

Второй доступный режим, это режим поиска поддоменов. Чтобы его активировать нужно после параметра -m указать режим dns, потом точно также указать цель и словарь. При этом если мы хотим видеть ip адреса найденных поддоменов, то добавляем параметр -i.

Sublist3r

Sublist3r — это ещё один инструмент для перебора поддоменов сайта. Мажет искать поддомены как перебором так и задействовать возможности поисковых систем. Основной плюс в том, что он очень прост в использовании, при этом работает достаточно быстро.

Как видим из справки, использовать Sublist3r очень легко. После параметра -d указываем нужный сайт и немного ждем. Если хотим задействовать брутфорс добавляем параметр -b, словарь, при этом, указывать не нужно. Интересная особенность в том, что мы можем сразу просканировать нужные нам порты и показать только те поддоменты где открыт нужный порт. Для этого добавляем параметр -p и указываем, через запятую, какие порты нам нужны.

theHarvester

theHarvester — это утилита для сбора информации о домене или компании из открытых источников. Умеет собирать электронную почту, имена сотрудников, поддомены. В файле /opt/theHarvester/api-keys.yaml можно добавить свои API. Они нужны для работы с Bing, GitHub, Hunter, Intelx, SecurityTrails, Shodan, Spyse.

Чтобы запустить theHarvester в работу, после параметра -d вводим целевой сайт. Указываем какие поисковые системы задействовать -b google (можно указать all, что бы задействовать все доступные поисковые системы). Если нужно добавляем -c чтобы побрутить поддомены и, используя опцию -f просим сохранить результаты в файл jus.html.

С подразделом Domain Tools мы, вроде как, разобрались. Как видишь тут собран набор очень неплохих утилит, которые однозначно будут полезны как на ранних этапах разведки так и при сборе информации для расследований. Ну и, я думаю, после прочтения этого материала стало понятно как именно их использовать, а какие именно в каких ситуациях использовать это ты уже решай сам. А мы идем дальше и переходим к основному разделу OSINT в CSI Linux. Ему будет посвящена вторая часть этого обзора.

Источник

CSI Linux. Полное руководство по OSINT. Часть 2.

Привет, друг. Продолжаем изучать утилиты встроенные в CSI Linux. В прошлой статье, посвященной этому дистрибутиву, мы ознакомились с разделом Domain Tools (если пропустил она ЗДЕСЬ). Ну, а сегодня, без долгих вступлений, переходим непосредственно к разделу OSINT. И тут есть на что посмотреть.

CSI Linux Social Media Search

Первым пунктом у нас CSI Social Media Search. Здесь можно создать кейс, как в разделе Domain Tools. Он также будет сохранен в папке Cases, в домашнем каталоге. Туда будут сохранятся результаты работы по цели этого проекта.

EyeWitness

EyeWitness — это программа для снятия скриншотов сайтов и сбора информации из заголовка сервера.

Запускается EyeWitness очень просто. Нам нужно после параметра —web, указать целевой сайт. Если мы хотим сделать скриншоты целой пачки сайтов, то нужно создать текстовый файл и на каждой новой строчке записать адрес целевого сайта. И указать этот файл, после параметра -f. Если нужен только один сайт, то его адрес указываем после параметра —single. Остальные параметры используем по вкусу, они не обязательны.

В итоге EyeWitness сделает скриншот той страницы на которую мы дали ссылку и покажет нам заголовок этого сайт. Отчет будет сохранен в папке программы.

FBI Facebook Information в CSI Linux

FBI Facebook Information — это утилита для анализа и управления своим аккаунтом Facebook. Её можно использовать и для поиска, вот только для этого придется напроситься в друзья к нужному человеку. Потому что она может собирать данные только по аккаунтам друзей. Ещё один не очевидный вариант применения это если у тебя есть доступ к какому-то аккаунту и нужно его и его друзей быстро проанализировать, то FBI вполне с этим справится.

Для начала использования, после запуска, вводим help для вызова справки.

Что бы все работало нужно создать токен доступа. Для этого вводим команду token. Затем нас попросят ввести наше имя пользователя на Facebook и пароль от аккаунта.

Какие данные мы можем получать? Тут все довольно просто. Сначала вводим команду get_data чтобы утилиты скачала всю нужную информацию, а потом потому вводим команду для получения нужной нам информации.

Ещё одна интересная возможность, это непосредственно управление аккаунтом. Для этого вводим команду bot и попадаем в соответствующее меню.

Это меню позволяет автоматизировать некоторые некоторые процессы. Какие именно мы видим из справки.

Hunchly

Hunchly — очень крутая утилита, которая, в процессе посещения сайтов, позволяет сохранять определенные результаты. Делать заметки, сохранять фотографии, файлы, ведет лог посещения страниц. А ещё поможет автоматически находить нужную информацию, по ключевым словам и помечать её. Возможности Hunchly максимально раскрываются при проведении масштабных расследований, когда нужно сохранить огромное количество страниц, что бы потом можно было к ним вернуться, сделать пометки, сохранить фото, а потом ещё и отфильтровать нужную информацию. Единственный минус в том что она платная. Но для получения бесплатного ключа на 30 дней нужна только электронная почта.

Использование Hunchly

Сама программа состоит из двух частей. Это непосредственно программа и расширение браузера. Работает Hunchly только с Google Chrome. В CSI Linux все это уже установлено, так что возится не придется.

Для начала использования запускаем саму программу и создаем новый кейс. Для этого давим на плюсик в левом верхнем углу и придумываем название. Теперь открываем браузер и жмем на кнопку расширения Hunchly.

Здесь в поле Case выбираем созданный нами кейс и включаем захват. Теперь все посещенный нами страницы будут сохранятся в приложении. Но это только начало. Из полезного: мы можем нажать правой кнопкой мыши на любое изображение и сохранить его в Hunchly, или добавить к нему заметку, которая тоже сохранится в приложении.

Также мы можем выделить любой текст и, нажав правой кнопкой мыши на нем, выбрать Capture. Эта страница будет дополнительно сохранена с нашим выделением, и мы сможем вернуться к ней позже. В принципе, подобным способом можно сохранять любые элементы.

Ещё одна удобная фишка это селекторы. Селектор — это такой фильтр, по которому можно находить нужную информацию. Например, если создать селектор CSI, то в списке сохраненных страниц будут помечаться страницы на которых есть это слово. А если выбрать селектор из списка, то мы увидим список страниц на которых он встречается.

Также к страницам можно добавлять теги. Это отметки по которым можно понять к какой именно теме относятся помеченные страницы.

Если нужно временно остановить работу программы, то открываем расширение браузера и отключаем захват. Это позволяет в любой момент вернуться к работе, не засоряя логи ненужными страницами.

Infoga

Infoga — позволяет автоматизировать процесс сбора информации об адресе электронной почты, используя возможности поисковых систем. Также может собирать адреса email с сайтов. Я уже упоминал об этой утилите в статье про поиск по адресу электронной почты (ЗДЕСЬ). В этой статье разберем её чуть подробней.

При запуске из меню CSI Linux мы видим справку.

Использовать Infoga очень просто. Если нам нужно проверить сайт на предмет наличия адресов, то после параметра —domain указываем нужный нам сайт.

Если нужно попробовать собрать информацию о каком-то конкретном адресе электронной почты, то используем команду —info. И указываем адрес почты. Если добавить параметр -b то адрес будет проверен по базе утечек http://haveibeenpwned.com/.

Instaloader в CSI Linux

Instaloader — это программа для скачивания данных и содержимого профиля из Instagram. Может скачивать все фото, видео, сториз и коментарии из аккаунта. Также собирает данные геопозиции и хештеги

Для обычного запуска, который подходит в большинстве случаев, достаточно просто ввести имя нужного нам аккаунта.

Сразу начнется выгрузка содержимого аккаунта. Если нет необходимости качать прям все содержимое, можно, используя параметры из справки, определить что именно мы хотим выгрузить. Все скачанное будет помещено в папку программы.

Тут ещё есть небольшой нюанс с закрытыми аккаунтами. Чтобы скачать содержимое закрытого аккаунта, нужно через Instaloader войти в свой аккаунт. Для этого в конце дописываем параметры —login и —password, ну и свой логин и пароль соответственно тоже вписываем.

LittleBrother

LittleBrother — это комплексный инструмент для поиска. Но про него я не буду особо рассказывать потому, что он заточен для поиска по Франции, Швейцарии, Люксембургу и Бельгии. Я не уверен, что моим читателям это особо актуально. А потому просто упомяну о нем т.к. он есть в CSI Linux. Ну а те кому актуально, на скрине ниже могут увидеть где и что он может искать.

Sherlock

Sherlock — это утилита для поиска по никнейму. Про неё в частности и про поиск по никнейму в целом я писал отдельную статью и делал видео. Если вдруг пропустил можешь ознакомиться здесь:

Metagoofil в CSI Linux

Metagoofil — это инструмент для сбора метаданных с документов лежащих на сайте. Как бонус он эти документы скачивает. А потому если метаданные не интересуют, но надо по быстрому выкачать все документы с сайта, то Metagoofil отлично с этим справится. Использовать эту утилиту в CSI Linux максимально удобно т.к. все уже настроено. При запуске нас попросят придумать имя для нового кейса. А потом ввести адрес сайта который нас интересует.

Когда мы введем адрес цели нам останется только немного подождать. Metagoofil найдет и скачает до 500 документов формата pdf, doc, xls, ppt и т.д. После скачивания откроется браузер где будет сформирован отчет по найденным метаданным. Из каждого найденного документы Metagoofil постарается извлечь имя пользователя, электронную почту, название программы в которой создан документ, и путь к файл на том устройстве на котором он создавался. Сам отчет и скачанные файлы будут лежать в папке Cases в домашнем каталоге пользователя.

Recon-NG

Recon-NG — это такой Metasploit из мира OSINT. Для выполнения задач по поиску используются загружаемые модули. У каждого модуля есть свои настраиваемые параметры. После запуска, чтобы увидеть модули вводим команду modules search.

Модули, в свою очередь, разбиты на группы, а группы на подгруппы, в зависимости от их возможностей. По названиям групп и самих модулей, я думаю, не трудно разобраться что они делают. Чтобы применить какой-то модуль вводим команду modules load и вписываем название нужного модуля. Затем, если хотим посмотреть информацию о модуле используем команду info. Для настройки модуля, сначала смотрим доступные опции. Для этого вводим команду options list. Чтобы изменить какую-либо опцию используется команда options set затем нужно ввести название опции и параметр которые мы хотим ей присвоить.

Например, если мы загрузим модуль discovery/info_disclosure/interesting_files. То, нам нужно, в первую очередь задать цель этому модулю. И запустить его командой run.

После запуска выбранный модуль отработает и покажет результат. Логика использования одинаковая для всех модулей. Отличатся могут только настраиваемые опции. А потому немного поэкспериментировав с разными модулями ты быстро разберешься с этой программой. Ну и выберешь для себя набор полезных модулей, в зависимости от своих задач.

Для использования некоторых модулей, использующих возможности поисковых систем, социальных сетей и вообще сторонних ресурсов нужно добавить свои API. Чтобы увидеть список ресурсов, API которых можно добавить вводим команду keys list. А чтобы добавить API вводим keys add название ресурса из таблицы keys list и сам ключ.

OSINT-Search

OSINT-Search — это ещё один инструмент в CSI Linux для OSINT аккумулирующий возможности сторонних сервисов. Таких как Pipl, FullContact, Cnam, Shodan, WhatCMS, Censys, TowerData. Чтобы все функции работали нужно вписать API ключи от всех перечисленных сервисов в файле osintSearch.config.ini который лежит в /opt/OSINT-Search/.

После запуска видим справку.

Хотя, здесь скорее не справка, а примеры использования, разбитые по категориям. Какого-то особенного функционала здесь нет. Для использования возможностей каждого сервиса отдельная команда запуска. Каких-либо дополнительных настрое тоже нет. Насколько целесообразно использовать подобную утилиту, вопрос спорный. Лично мне не нравится.

Например если применить команду сбора ссылок с сайты:

То OSINT-Search конечно соберет ссылки с сайта. Но каким-либо способом их отфильтровать, как например в Get Links, нельзя.

SkipTrace

SkipTrace — это ещё один инструмент для сбора данных и поиска информации. После запуска нужно выбрать пункт меню, исходя из того по каким данным необходимо провести поиск. При выборе какого-либо пункта, будут показаны варианта проведения поиска, можно выбрать какой-то конкретный или задействовать все сразу.

Выглядит неплохо, но проблема в том, что все заточено под США. Опытным путем установлено, что в RU сегменте он практически бесполезен.

SpiderFoot в CSI Linux

SpiderFoot — это инструмент для комплексного анализа и сбора информации о цели. При работе может использовать около 100 модулей для получения информации. При запуске откроется веб-интерфейс на странице создания нового сканирования.

Здесь нужно придумать название для нового сканирования и задать цель. В качестве цели может выступать доменное имя, поддомен, IP, диапазон IP, адрес электронной почты, номер телефона или данные человека.

После указания цели нужно выбрать способы и методы поиска информации. Здесь есть четыре режима по-умолчанию:

• All — Получите все и вся о цели. В этом режиме будут задействованы все модули SpiderFoot. Искать будет очень долго, найдет дофигища всего. Часть того, что найдет не будет иметь к цели никакого отношения. Но, среди найденного, будет достаточно много интересной информации.
• Footprint — Понять, какую информацию эта цель предоставляет в Интернет. Будет собранная техническая информация о цели, а также задействованы возможности поисковых систем.
• Investigate — Лучше всего, когда вы подозреваете, что цель является вредоносной, но нуждаетесь в дополнительной информации. Прогонит цель по всяким черным спискам, базам утечек и соберет общую информацию.
• Passive — Когда вы не хотите, чтобы цель даже подозревала, что по ней проводят расследование. В этом режиме будут задействованные только пассивные модули для сбора информации. К самой цели запросы делаться не будут.

Если готовые варианты поиска тебя, по какой-то причине не устраивают. То можно собрать свой кейс. Для этого есть два подхода:

• By Required Date — кейс формируется на основе того какую необходимо получить информацию.
• By Module — тут можно самостоятельно выбрать модули которые будут задействованы.

Использование SpiderFoot в CSI Linux

Отдельно стоит отметить вкладку с настройками. У каждого модуля есть свои параметры, но без явной необходимости тут что-то крутить не стоит. А стоит обратить внимание на модули возле названия которых стоит замок. Это означает что для полноценной работы модуля ему необходим API ключ. Потому если есть желание задействовать все возможности SpiderFoot то ключи придется добавить.

После запуска начнется сканирование. И сказать, что оно будет длится долго это ни сказать ничего. Но, как результат SpiderFoot найдет очень много информации.

В процессе сканирования, в реальном времени будет строится диаграмма отчета. При нажатии на нужные столбец мы увидим отчет именно по этому пункту. Где будет детально расписано где и что было найдено, а также вся доступная информация по конкретному пункту.

Можно нажать на вкладку Graph где мы увидим отчет по связям цели в графическом виде.

Как вывод. SpiderFoot штука прикольная, информации собирает огромное количество. Знать о нем однозначно стоит. Из минусов это медленная скорость работы и частенько цепляет информацию не имеющую отношения к цели. В итоге чтобы найти что-то действительно важное придется сначала подождать пока закончится анализ, а потом ручками монотонно перебирать тонны собранной информации.

Tinfoleak

Tinfoleak — это утилита анализа аккаунта в Twitter. Умеет скачивать данные из твитера, анализировать активность пользователя и собирать статистическую информацию. По результатам работы формирует отчет в файле html.

После запуска в поле User нужно указать имя нужного нам аккаунта. В разделе Operation указываем какое количество каких данных анализировать и выбираем какие данные включить в отчет. После чего запускаем программу и немного ждем. Итоговый отчет будет сохранен в папке /opt/tinfoleak/Output_Reports/. А в папке с именем изучаемого аккаунта будет лежать фотографии профилей его друзей и подписчиков.

Ну, а на этом наше знакомство с CSI Linux можно считать оконченным. Но не забывай возвращаться ведь впереди ещё много интересного.

Источник