Как установить csi linux

CSI Linux: linux-дистрибутив для кибер-расследований и OSINT

Краткое описание

CSI Linux Investigator представляет собой сборку линукс-дистрибутивов, базирующихся на операционной системе Ubuntu, с предустановлеными пакетами специализированного программного обеспечения. Распространяется сборка в виде OVA-файла, который без проблем импортируется в Oracle VM Virtual Box.

Данный linux-дистрибутив содержит программное обеспечение, необходимое для решения следующих задач:

• OSINT
• Digital Forensics
• Incident Response
• Malware Analysis

Загрузить дистрибутив можно по ссылке с официального сайта. Там же размещены обзорные гайды и мануалы по работе с дистрибутивом.

Структура и состав

CSI Linux Analyst — это «ядро» данного дистрибутива. Представляет собой виртуальную машину ubuntu-дистрибутива с большим количеством предустановленного программного обеспечения, сгруппированного по категориям:

• OSINT/Online Investigations
• Secure Comms
• Encryption
• Dark Web
• Incident Response
• Computer Forensics
• Mobile Forensics
• CSI Tools

Подробный перечень установленного софта приведен на странице оф. сайта Tools List.

Личное мнение и полезные ссылки

Обзорную статью на CSI Linux Investigator хотел бы завершить личным мнением и дать пару советов по работе с данным дистрибутивом.

Сборка CSI Linux Investigator не первая в своем роде, у нее есть свои плюсы и минусы.
В данном дистрибутиве мне понравилось разделение виртуальных машин на три составляющие — непосредственно дистрибутив, шлюз TOR и SIEM-сборку.

С точки зрения наполнения сборки софтом — мнение двойственное, с одной стороны есть все необходимое, с другой стороны — много лишнего программного обеспечения, которое пагубно влияет на размер дистрибутива.

Если проводить аналогии с другими дистрибутивами под данные цели, то получается следующее:

CSI Linux Analyst получился комбинированной версией дистрибутивов SIFT, Buscador и Caine.

CSI Linux SIEM по целям и задачам схож с Security Onion, а CSI Linux Gateway с Whonix Gateway.

Источник

Meet CSI Linux: A Linux Distribution For Cyber Investigation And OSINT

W ith the steady rise of cybercrimes, companies and government agencies are involving themselves more in setting up cyber investigation labs to tackle the crime happening over the Internet.

Software tools are like arms that play a significant role in the investigation process. Hence, Computer Forensics, Incident Response, and Competitive Intelligence professionals have developed a Cyber forensics focussed operating system called CSI Linux.

The collection and installation of various applications for inspection and analysis of crime is a tedious task. Therefore, there is a requirement for an all-inclusive system that ships only with the desired tools.

CSI Linux: Linux-Based Operating System

CSI Linux is a multi-purpose operating system designed especially for cyber investigators. Removing the hassle involved with installation and configuration of software packages, CSI Linux offers tons of pre-installed tools for online investigation, malware analysis, and security prevention.

Here are the highlighted challenges that CSI Linux aims to resolve:

• Online Investigation: Social Media Accounts, Website Information, OSINT
• Incident Response: Intrusion Detection/Prevention
• Malware Analysis

Some key open source tools included in CSI Linux:

• Autopsy GUI
• Catfish Search
• Recon-ng
• FBI (Facebook Information)
• KeePassXC
• Nmap
• OSINTFramework
• OSINT-Search
• Maltego
• Twitter feed pull
• Wireshark
• theHarvester
• Sherlock

For all other available tools, you can check from here.

If we talk about the minimum requirement for installing CSI Linux, you may dislike it as CSI Linux requires more than 50GB free space for running virtual machine images and 20GB for downloading the installer. Moreover, you must have at least 8GB RAM.

For providing individuality and modularity of tasks, CSI Linux Investigator comes with three separate platforms: Analyst, Gateway, and SIEM.

CSI Linux Analyst

Analyst edition contains tools for investigation, analysis, and cyber reports generation.

You can generate a complete report of the suspects by gathering all social footprints using programs such as Social Media Search, Maltego, and RecordMyDesktop.

CSI Linux Gateway

As the name suggests, Gateway links all Analyst traffic through the Tor network to provide safety and anonymity over the Internet. Most of the web tools help to interact with the Tor Dark web.

If the suspect belongs to the hacking or piracy group, you can use Gateway Linux to hide your location and adds a layer of security.

CSI Linux SIEM

SIEM edition is mainly used for Incident Response and Intrusion detection. It can be used as a standalone for an in-depth analysis of a threat to the system.

If your system gets compromised, you can use SIEM tools such as Autopsy, Kibana, and Elasticsearch for inspecting the whole system vulnerabilities.

How To Install CSI Linux?

You may find it odd that you can’t download the CSI Linux OS for standalone installation as it is only available for VirtualBox. Hence, you first need to install VirtualBox and Virtual Box Extensions.

CSI Linux Investigator is an individual OVA file that comprises the other three editions for the virtual machine, CSI Linux Analyst, Gateway, and SIEM.

Источник

CSI Linux. Полное руководство по OSINT. Часть 1. Domain Tools

Привет, друг. Ты наверняка знаешь, что в начале 2020 года появился дистрибутив Linux под названием CSI Linux Investigator. Который позиционируется как площадка для проведения расследований. Я изначально хотел сделать просто обзор этой системы, но потом пришло понимание, что этот обзор получится максимально поверхностным. Ведь если рассказывать просто про дистрибутив, то вряд ли получится рассказать что-то новое, а, учитывая специфику встроенных утилит, посмотреть их поверхностно тоже не вариант, просто потому, что ничего не будет понятно.

Что касается самого дистрибутива. То историю со шлюзом мы уже видели в Whonix (обзор ЗДЕСЬ). В CSI принцип очень похож, весь трафик также перенаправляется через сеть Tor. Правда стоит отметить, что в CSI Linux добавили ещё одну виртуальную машину SIEM. Она тоже используется для защиты других виртуальных машин т.е. работает как IDS (система обнаружения вторжений), а ещё может работать с логами. Но все это нюансы и уделять им отдельное внимание я не вижу смысла. Гораздо интереснее посмотреть наполнение этого дистрибутива и познакомиться с утилитами в нем, а там есть на что посмотреть. Особенно с точки зрения OSINT, да и для пентеста, с позиции предварительной разведки, будет не лишним. А потому в этой статье мы разберем утилиты находящиеся в разделе OSINT дистрибутива CSI Linux Investigator, посмотрим для чего они нужны и научимся их использовать.

Итак, раздел OSINT/Online Investigations. Здесь собрано довольно большое количество всяких утилит которые будут очень полезны, как при проведении предварительной разведки так и при проведении полноценного расследования. Конечно, некоторые из них носят довольно таки ситуативный характер, но знать о их существовании точно нужно, потому что в какой-то момент они могут сэкономить нам кучу времени и сил.

Ну, а начнем мы с подраздела Domain Tools.

Содержание:

CSI Domain Search Tools

Начать рассмотрение этого раздела нужно именно с пункта CSI Domain Search Tools. Это одна из отличительных возможностей этого дистрибутива. Нажав на этот пункт меню нам предложат создать то, что здесь называется кейс. Это что-то типа, рабочего проекта. Изначально нам будет предложено ввести название будущего кейса, а потом выбрать инструмент который мы хотим использовать. После этого вводим цель и CSI Linux автоматически запустит выбранную нами утилиту. При это в домашней паке пользователя, в каталоге Cases, будет создана папка нашего кейса, куда будут сохранены все отчеты.

DNSRecon

DNSRecon -это утилита для проверки dns-записей и перебора поддоменов исследуемой цели. При запуске мы видим справку:

В первую очередь эта утилита будет полезна именно для перечисления dns-записей целевого ресурса. И с этой задачей dnsrecon справляется на отлично. Самым простым, ну и, наверное, самым распространенным вариантом её использования будет запуск для просмотра всех записей. Для этого после параметра -d просто указываем нужный сайт, если надо (как правило не надо) можно задействовать возможности поисковых систем:

Бонусная возможность этой утилиты это брутить поддомены. Но это дело вкуса, и как по мне, для этих целей существуют более интересные инструменты (тот же Knock, например).

GetLinks

GetLinks — это утилита для сбора ссылок с целевого сайта, имеет всего три параметра для запуска:
-d — собрать ссылки на доменты
-i — собрать только внутренние ссылки
-x — собрать только внешние ссылки

GoBuster

GoBuster — это инструмента для брута, который имеет три режима:
dir — брут каталогов и файлов на целевом сайте
dns — перебор поддоменов
vhost — перебор имен виртуальных хостов на сайте

Справка по использованию GoBuster вызывается командой:

Использовать GoBuster довольно просто. По умолчанию задействован режим dir, потому если мы ищем фалы или каталоги то выбирать режим не нужно. Используя параметр -u указываем целевой сайт, а после параметра -w указываем путь к словарю. После чего запускаем и ждем пока GoBuster переберет варианты. Также можно немного модифицировать команду, например используя параметр -a установить User-Agent. Либо, если мы ищем файлы с каким-то конкретным расширением, то добавляем параметр -x после которого указываем расширение, например -x pdf.

Второй доступный режим, это режим поиска поддоменов. Чтобы его активировать нужно после параметра -m указать режим dns, потом точно также указать цель и словарь. При этом если мы хотим видеть ip адреса найденных поддоменов, то добавляем параметр -i.

Sublist3r

Sublist3r — это ещё один инструмент для перебора поддоменов сайта. Мажет искать поддомены как перебором так и задействовать возможности поисковых систем. Основной плюс в том, что он очень прост в использовании, при этом работает достаточно быстро.

Как видим из справки, использовать Sublist3r очень легко. После параметра -d указываем нужный сайт и немного ждем. Если хотим задействовать брутфорс добавляем параметр -b, словарь, при этом, указывать не нужно. Интересная особенность в том, что мы можем сразу просканировать нужные нам порты и показать только те поддоменты где открыт нужный порт. Для этого добавляем параметр -p и указываем, через запятую, какие порты нам нужны.

theHarvester

theHarvester — это утилита для сбора информации о домене или компании из открытых источников. Умеет собирать электронную почту, имена сотрудников, поддомены. В файле /opt/theHarvester/api-keys.yaml можно добавить свои API. Они нужны для работы с Bing, GitHub, Hunter, Intelx, SecurityTrails, Shodan, Spyse.

Чтобы запустить theHarvester в работу, после параметра -d вводим целевой сайт. Указываем какие поисковые системы задействовать -b google (можно указать all, что бы задействовать все доступные поисковые системы). Если нужно добавляем -c чтобы побрутить поддомены и, используя опцию -f просим сохранить результаты в файл jus.html.

С подразделом Domain Tools мы, вроде как, разобрались. Как видишь тут собран набор очень неплохих утилит, которые однозначно будут полезны как на ранних этапах разведки так и при сборе информации для расследований. Ну и, я думаю, после прочтения этого материала стало понятно как именно их использовать, а какие именно в каких ситуациях использовать это ты уже решай сам. А мы идем дальше и переходим к основному разделу OSINT в CSI Linux. Ему будет посвящена вторая часть этого обзора.

Источник

CSI Linux — монстр для OSINT разведки

Norow

Главный Еврей

Norow

Главный Еврей

Norow

Главный Еврей

Всем салют, дорогие друзья!
Сегодня мы с вами поговорим о новом CSI Linux, разработанным настоящими детективами для киберкриминалистического расследования. Это один из лучших дистрибути́вов для OSINT разведки, реверс инженеринга и выявления вторжений, содержащий безумные количества всеможножных профильных утилит, как для работы в клирнете, так и для расследования в даркнет сетях.

Предисловие
От большого брата теперь не скрыться. Тысячи виртуальных «глаз» следят за вами и создают подробное цифровое досье, которое можно купить, продать или даже украсть. Умные игрушки, видео-няни собирают данные об увлечениях детей и отправляют производителям. Умная цифровая техника собирает данные и предоставляет ваши секреты корпорациям. В любой момент кто-то может перехватить контроль над вашим автомобилем или смартфоном. Вам кажется, что на вас это никак не отразится, но знайте — ваша цифровая тень уже в зоне риска, страховщики изучают ваш образ жизни, чтобы определить условия страхования, медучереждения вычисляют приблизительный год, когда вы умрёте, чтобы понять стоит ли вас лечить, изучая ваши действия в сети специалисты внушают вам чему верить и за кого голосовать. Ценность вашей жизни измеряется в байтах. Таков новый порядок, выйти из системы невозможно, но есть те, кто готов защищать свободу до последнего: активисты, разоблачители, хакеры.
Всё это — серьёзная проблема для новой элиты.
Кто все эти люди: угроза или последний шанс простых людей отстоять свободу?

CSI Linux | Структура
Итак, возвращаясь к теме моей статьи.

• CSI Linux представляет из себя слияние целых 3 операционных систем, которые распространяются в виде образа виртуальных машин.
• Для системы требуется большой объём: как минимум 50 гб для запуска образа и не менее 8 гб оперативной памяти для полноценного функционирования.
• Вся система разделена на: CSI Linux Analyst, CSI Linux Gateway и CSI Linux SIEM.

CSI Linux Analyst — это основная рабочая станция для расследований, она используется для цифровой криминалистики, содержит инстументы для расследования, сбора, анализа и составления отчётов об инцидентах.

CSI Linux Gateway — отправляет весь трафик от CSI Linux Analyst через сеть Tor, чтобы скрыть исходный ip адрес для дополнительной безопасности, а также используется чтобы взаимодействовать с даркнет сервисами и проводить их разведку.

CSI Linux SIEM — используется для реагирования на инценденты и обнаружение вторжения, если наша система скомпрометирована, мы можем использовать инструмент SIEM для проверки уязвимости системы.

CSI Linux Analyst | Основная рабочая станция
Начнём с основной системы.

CSI Linux Analyst имеют удобное графическое окружение, внизу системы расположена панелька с основными утилитами. Во первых тут 3 браузера: хром, файрфокс и тор браузер.

За ними следует утилита OnionShare — это инструмент для относительно анонимного и безопасного обмена файлами через сеть tor, onion share запускает на локальной системе web сервер, он работает в форме скрытого сервиса tor, делает его доступным для других нужных нам пользователей, которые могут скачать раздаваемые нами файлы.

Вслед за этой утилитой следует программа KeePassXC — это менеджер хранения паролей, где мы можем создавать базу и в ней хранить безопасно пароли от различных сервисов и держать всё в зашифрованном виде.

Затем мы можем наблюдать GNU Privacy Assistant — он представляет собой графический интерфейс для GNUPG, он необходим для генерирования, хранения и работы с различными ключами шифрования.

Далее идёт мессенджер qTox — он нужен для децентрализованной текстовой, голосовой и видео связи на основе ассиметричного шифрования, а также мессенджер Pidgin — с помощью него вы можете выстроить конфиденциальное общение по различным непрослушиваемым протоколам.

Затем начинаются профильные программы нашего дистрибутива.

• Первая из них Hunchly, она представляет из себя специализированный инструмент для захвата вебстраниц, предназначена для проведения исследования OSINT, она будет сохранять и каталогизировать веб-страницы, фотографии, файлы, метаданные, иными словами всё, что вы будете использовать в рамках своего расследования, тем самым облегчая вам поиск цифровых доказательств, но и предотвращая их утерю если эти данные доказательства будут удалены из общего доступа.
• Следующий профессиональный инструмент — Social Media Search Application —это специальный скрипт, объединяющий в себе инструменты пробива и поиска по нику, имени,фамилии, номера мобильного телефона на предмет упоминания в различных социальных сетях, популярных сервисах и сайтах.
• Если вам знакомы такие инструменты как Sherlock, SpiredFoot и похожие, то все их вы здесь найдёте. А если вам понадобится информация о сайте или домене, то на выручку вам придёт программа Domain Interrogation Tool, в свою очередь тут вы найдёте трек для сбора всех поддоменов нужной цели, хардвёрс, metagootfil для извлечения метаданных публичных документов, которые расположены на исследуемом сайте. Все эти программы присутствуют в данном скрипте.
• Затем у нас следует знаменитое Maltego, наверное, самый популярный инструмент для построения и анализа связей между различными объектами расследования, визуализации данных и разведки на основе открытых источников OSINT. Если вам нужно выявить какие-то взаимосвязи между сайтами, компаниями, ip адресами, номерами телефонов или ещё какие-либо данными, то Maltego — отличный инструмент в вашем расследовании.
• Далее у нас идут уже инструменты форензики и киберкриминалистики. Autopsy — это инструмент с открытым исходным кодом, он используется полицией, военными или корпаративными экспертами для расследования того, что произошло на компьютере, полезно если вам необходимо обнаружить удалённые файлы жёсткого диска, извлечь историю браузера или куки, найти методанные на фото, отсортировать файлы на диске по определённым характеристикам, с этой штукой даже можно восстановить удалённые видео с карт памяти видеокамер и телефонов, это весьма полезно при определённых обстоятельствах.
• Следующий инструмент в моём обзоре прямиком из агенства национальной безопасности США, это — Ghidra.
  Ghidra — платформа для реверс инженеринга, программное обеспечение разработанное АНБ, оно помогает анализировать вредоносные код и вредоносные программы, может дать понимание потенциальных уязвимостей в сетях и системах. Её возможности включают разборку, сборку, декомпеляцию, создание графиков или сценариев, в общем широкий простор для инженеров обратной разработки.

В CSI Linux также присутствуют и более повседневные программы:

CherryTree — приложения для создания иерархических заметок и пакета программ LibreOffice для работы с офисными документами.

CSI Linux Gateway | Шлюз TOR

Мы плавно подошли к кнопкам управления трафика, а именно мы можем перенаправлять весь наш трафик от машины CSI Analyst в машину Gateway CSI,которая является шлюзом в сеть tor.
Cхожая реализация была в системе Whonix.
Для этого просто запускаем Gateway, как дополнительную машину, а после активируем, далее поменяется картинка рабочего стола, это сделано для удобства и дабы вы не запутались куда именно течёт ваш трафик, а на выходе мы будем иметь ip адрес tora. Кроме того, что теперь все наши разведывательные действия приобрели плюс к анонимизации, теперь все наши инструменты о которых я рассказывал ранее можно применить и для расследования внутри сети tor, анализа даркнет сайтов и их пользователей. Когда же мы захотим пользоваться обычным клирнетом, то мы можем снова вернуть всё на место, деактивировав скрипт одним нажатием.

CSI LINUX SIEM | Мониторинг и проверка уязвимостей
Теперь мы подошли к использованию CSI LINUX SIEM. Запустив её и CSI Analyst вместе, а также активировав специальный скрипт для маршрутизации трафика, мы можем использовать встроенную программу Kibana. Она создана для использования и мониторинга, анализа it инфраструктуры, а также alastic search для проверки уязвимости всей системы.

Помимо всех перечисленных инструментов, CSI Linux также хранит в себе безумно большое количество инструментов для OSINT разведки, конфиденциального общения, скрипты для работы с сетями i2p, freenet, криптокошельки, инструменты для брутфорсинга учётных записей пользователя и для парольных фраз, для доступа к криптоконтейнеру. Далее, тут есть интументы для криминалистической экспертизы, мобильных устройств и ещё множество инструментов безусловно достоенных вашего внимания.

В конце статьи хотелось бы сказать, CSI Linux на сегодняшний момент безусловно является одним из лучших дистрибутивов для нетсталкеров, мастеров пробива или хакеров.

Конечно, он достаточно сложен в освоении, большой по объёму и требователен к железу, однако, это всё же того стоит, а реализация за счёт гипервизора, как вы уже могли заметить, близка к моим личным предпочтениям. Надеюсь, что данная статья побудит вас попробовать этого разведовательного монстра в действии.

Также выложу для вас ссылки которые помогут разобраться немного с CSI Linux и его утилитами.

Источник