Изучение различных ситуаций, которые произошли в сфере информационной безопасности, уступает по популярности пентестам. В то же время это является особой научной дисциплиной, результаты которой активно применяются на практике, что создаёт необходимость для формирования условий, способствующих развитию рассматриваемого направления. Достаточно весомый вклад в это дело вносит сообщество Open Source. Стоит рассмотреть то, что имеется на GitHub, и узнать, какие инструменты для сбора информации и исследования доказательств в данной сфере могут использовать люди на бесплатной основе.
Стоит отметить, что здесь имеется не полный список программного обеспечения, которое могут использовать в своей работе криминалисты. К примеру, тут отсутствуют специализированные программы для исследования зловредов. Также стоит сказать, что разделение всего ПО на различные группы не является официальной классификацией. Деление тут осуществляется условно, чтобы было более удобно читать.
Инструменты для выполнения большого количества функций
ADIA
Представляет собой набор опенсорсных инструментов, которые применяются для расследований в электронном формате. Инструмент подходит для сбора информации. В него включены: Autopsy, Sleuth Kit, Digital Forensics Framework, log2timeline, Xplico и Wireshark. Его можно получить в качестве образов для VirtualBox и VMware.
SIFT Workstation
Включает в себя перечень инструментов, которые распространяются на бесплатной основе и используются для форензики. Это опенсорсный тулкит, который может использоваться для различных целей. Он основан на Ubuntu LTS 20.04, а также является детально задокументированным.
Autopsy
Обладает большим количеством функций. Именно поэтому он стоит в числе первых в этой подборке. В нём содержится графический интерфейс, используемый для анализа образов дисков The Sleuth Kit, PhotoRec, STIX. Программа имеет в своём составе платформу, которая применяется для цифровой криминалистики. Здесь реализована поддержка сторонних модулей Python и Java. Это помогает расширить потенциал применяемой платформы.
Skadi
Ещё один набор опенсорсных программ. Благодаря этому набору можно заниматься сбором информации, обрабатывать её, осуществлять расширенное исследование артефактов, имеющих отношение к криминалистическому расследованию. Также здесь можно анализировать изображения. Программы работают на следующих ОС: MacOS, Windows и Linux. К преимуществам можно отнести то, что они легко поддаются масштабированию.
Программы для ведения общего расследования
Kuiper
Это платформа, которая нацелена на исследование и сбор доказательной базы. В ней содержится достаточно хорошо проработанный интерфейс. Также тут имеется централизованный контроль парсеров. Инструмент может осуществлять загрузку большого количества артефактов, поступающих из разных каналов. Он даёт возможность всем аналитикам отмечать и распределять файлы по разным группам.
IRIS
Является веб-приложением, которое используется для обеспечения возможности общей работы над трудными и запутанными задачами во время расследования преступлений. С его помощью можно более быстро и эффективно обмениваться файлами. К примеру, инструмент позволяет проводить обмен журналами Windows. Утилита может разворачиваться на ПК или серверах. Это осуществляется из Docker-образа.
The Hive
Применяется для рассмотрения инцидентов безопасности. Используется для широкого круга профессионалов. Инструмент может внедряться в MISP. У него хорошо разработанная ролевая модель.
Orochi
Применяется для общего исследования дампов памяти. Фактически состоит из интерфейса для Volatility 3. Позволяет сохранять итоги обработки данных в ElasticSearch.
GRR Rapid Response
Служит для сортировки атак. Он позволяет исследовать атаки в реальном времени. В состав входит python-агент и контролирующий python-сервер. Их ставят на целевые системы. Здесь производится доступ низкого уровня и автоматическое составление планов заданий, которые повторяются.
Timesketch
Применяется для timeline analysis. Восстанавливает и показывает особенности произошедшей ситуации.
DFIRTrack
Инструмент нацелен на анализ крупных инцидентов, связанных со многими системами. Развёртывание осуществляется в Ubuntu. Оно базируется на Django, а для функционирования применяется Postgre SQL.
Наблюдение хостов
POFR
Является клиент-серверным инструментом для сбора информации о произошедших событиях. Он позволяет обеспечить регистрацию информации о проведении всех процессов в системе. Также тут проходит регистрация информации об исполнении определённых процессов, получении доступа к файлам, сетевых соединениях. После сбора всех данных проводится передача отчётности на сервер согласно протоколу SSH.
Fleetdm
Ещё один инструмент, который применяется для наблюдения за хостами. Его применяет osquery для работы с журналами событий. Инструмент проводит сбор их с целевых систем. Данная работа осуществляется в реальном времени.
Zentral
Специальная программа для осуществления наблюдения за конечными точками. Используется для сбора журналов случившихся ситуаций. Для этого применяется osquery. Тут имеется гибкая система уведомлений. Также программа обладает разными хранилищами информации: Splunk, Azure Log Analytics, Elastic Stack.
Intel MQ
Представляет собой систему для обработки случившихся событий в автоматическом режиме. Программа может применяться для последующего исследования. Её структура состоит из модулей, ботов для сбора информации.
Meerkat
Представляет собой несколько модулей PowerShell. Они используются для нахождения артефактов систем на ОС Windows. При этом нет необходимости заранее инсталлировать агент. Варианты применения предполагают реакцию на опасности, основное наблюдение и сопоставление снапшотов.
Velociraptor
Является инструментом для получения данных о том, в каком положении пребывают хосты. Для этого применяется гибкий язык VQL. Таким образом, можно существенно автоматизировать получение артефактов.
IOC-сканеры
Fenrir
Это bash-скрипт широкого круга использования для поиска в системах Linux, OSX и Unix. Может работать с большим количеством индикаторов компрометации.
Fastfinder
Программа используется на разных платформах. Служит для нахождения файлов, которые вызывают подозрения. Может работать с контрольными суммами md5/sha1/sha256. Помимо этого, она поддерживает постоянные выражения и правила YARA.
Loki
Является примитивной программой для поиска индикаторов с целью проверки итоговых точек.
Сбор артефактов
ir-rescue
Представляет собой несколько сценариев для Windows и Unix. Они помогают собрать много данных, относящихся к криминалистической сфере. Эта информация способна удовлетворить нужды для большей части проводимых расследований. Осуществляет запуск большого количества инструментов и команд. По этой причине она оставляет много следов.
osquery
Проводит анализ ОС, данные которой пригодятся специалистам по базам данных. Программа воспринимает ОС в качестве информационной базы с высоким уровнем производительности. Такой подход даёт возможность применять SQL для всего содержимого ПК. Может использоваться для Linux, macOS, Windows и FreeBSD.
artifactcollector
Относится к агентам с возможностью настройки. Он служит для сбора артефактов из ОС Windows, macOS и Linux. Способен получать файлы, каталоги, данные из реестра, WMI. Может внедряться в Digital Forensics Artifact Repository.
FastIR Artifacts
Собирает артефакты на разных платформах. Поддерживает Digital Forensics Artifact Repository.
UAC
Применяет инструментарий систем Unix. Они необходимы для автоматического сбора артефактов. Подходит для macOS и Android.
DFTimewolf
Фреймворк, занимающийся поиском, обработкой и передачей информации, нужной для расследования.
DFIR ORC
Обеспечивает деликатный сбор: таблиц, ответвлений реестра и журналов ПК на ОС Windows. Минимизирует воздействие на ОС, в которой применяется. Отсутствует необходимость дополнительного ПО, не производит много файлов и процессов. По результатам работы проводится запись необходимой информации.
AChoir
Является сценарием для применения в реальном времени и сбора артефактов ОС Windows.
CyLR
Собирает криминалистические артефакты. Подходит для систем NTFS.
Работа с реестром
Regipy и RegRippy
Применяются для чтения и получения информации из реестра Windows. Созданы на Python.
RegRipper
Служит для получения информации из реестра. Программа с открытым кодом. Создана на Perl.
Обработка журналов
APT Hunter
Применяется для нахождения активностей, вызывающих подозрения. Подходит для журналов ОС Windows. Автоматически проводит сбор журналов Scheduled Task, System, Operational, Security, Power shell, Power shell Sysmon, WinRM, Terminal Services, Windows Defender. Распределяет события на основе их важности. Также формирует статистику, способствующую обнаружению аномалии.
Logdissect
Используется для исследования, отбора и передачи информации и файлов журнала. Работает с ОС Windows или JSON.
LogonTracer
Проводит анализ ОС Windows Active Directory. Она занимается связью имени хоста и аккаунта. Обнаруженные события, которые имеют отношение к использованию системы, записываются программой, после чего выводятся в качестве схем. Даёт возможность провести реконструкцию истории посещений.
USB Rip
Элементарная консольная программа, позволяющая восстановить прошедшие подключения USB-устройств к ПК на Linux. Передаёт информацию на JSON-файл.
Stream Alert
Система не использует серверы. Применяется для исследования журналов. Процесс проводится в реальном времени. Создана на Python. Информация может приниматься из разных источников. Обладает встроенной системой оповещений. Информация сохраняется в зашифрованном виде.
Взаимодействие с образами и памятью ОС
AVML
Собирает сведения из памяти ОС Linux, не зависящей от электроснабжения. Создана на Rust. Используется с целью развёртывания в статический бинарный файл. Помогает получать информацию «вслепую», без знания конкретной версии дистрибутива операционной системы.
Volatility
Является распространённым фреймворком для изучения дампов ОЗУ. Допускается до 18 версий ОС. Способна работать с дампами ядра Virtualbox. Также допускается функционирование со снапшотами VMware.
LiME
Модуль ядра, который требует дополнительной загрузки. Используется для захвата информации из памяти техники, работающей на ОС Linux. Может применяться для смартфонов на Android.
INDX Parse
Позволяет получить артефакты NTFS.
Bmap-tools
Применяется для создания копий файлов с применением карты блоков.
Recupera Bit
Программа реконструирует файловую систему и восстанавливает данные в NTFS-системе.
Mem Proc FS
Программа, упрощающая доступ к памяти устройства.
nTimetools
Набор инструментов для обработки временных меток в NTFS-системе Windows. Точность работы до 100 наносекунд.
Sleuth Kit
Представляет собой библиотеку для изучения образов, нахождения улик.
Dof
Помогает найти и распознать артефакты Docker-контейнеров. Показывает все моменты сборки образа. Может создавать файловую систему контейнера, расставляет артефакты по времени.
Получение сетевых артефактов
Dumpzilla
Схожая программа для получения данных из браузеров. Работает с Firefox, Iceweasel и Seamonkey.
hindsight
Элементарная программа для исследования артефактов. Работает на основе Chromium. Даёт возможность провести анализ посещений и загрузок в браузере, а также прочих важных данных, включая пароли и расширения. Все сведения отображаются на шкале времени.
Обработка метаданных
Exiv2
Библиотека для метаданных Exif, IPTC, XMP и ICC.
FOCA
Позволяет находить данные в документах, загруженных в интернет. Функционирует с Adobe InDesign, Open Office, Microsoft Office, PDF и SVG.
Exif Tool
Обработка метаданных из разных форматов.
Pdf Parser
Применяется для получения сведений из файла PDF.
Инструментарий для Mac
ESF Playground
Позволяет просматривать события в ESF. Работает в режиме реального времени.
macOS Artifact Parsing Tool
Применяется для работы с образами дисков, получения информации, представляющей интерес для расследования. Является фреймворком на базе Python. Есть плагины для работы с артефактами.
Knockknock
Показывает весь перечень компонентов, исполняющихся в macOS в автоматическом режиме.
Инструментарий для телефонов
Andriller
Программа собирает данные с техники на Android. Применяется для разблокировки телефона.
MobSF
Является системой для исследования посторонних программ в автоматическом режиме. Позволяет оценить уровень безопасности приложений. Работает с бинарными файлами, у которых изначальный код находится в архиве. Формирует REST API для внедрения в конвейер Dev Sec Ops или CI/CD.
ALEAPP
Парсер Protobuf и журналов событий для техники Android.
iLEAPP
Аналогичное решение для iOS.
Разные инструменты
Digital Forensics Artifact Repository
Информационная база в рассматриваемой области.
Bitscout
Применяется для формирования LiveCD/LiveUSB, которые могут использоваться в криминалистике.
sherloq
Инструментарий для экспертизы фотографий в цифровом формате, которые могут использоваться для суда.
Sigma
Формат подписи для систем SIEM.
bulk extractor
Осматривает содержание данных, находит в них требуемые сведения (фото, адреса или JSON snippets).
swap_digger
Bash-скрипт, извлекающий файл подкачки Linux в автоматическом режиме. Нахождение данных аккаунта, адресов почты, состава интернет-форм, ключей SSID Wi-Fi.
fflib
Формат для создания образов дисков, а также данных, используемых в криминалистике.
LaZagne
Применяется для извлечения паролей на ПК.
Fibratus
Применяется для трассировки и анализа ядра Windows.
Форензика уступала пентестингу по количеству подходящих инструментов, находящихся в общем доступе. Постепенно различие в количестве снижается. Расследование преступлений в киберсфере становится более доступным для всех специалистов.