Профессиональные инструменты для аналитиков безопасности, которые верят в светлую сторону Силы

Подборка сформирована по пяти категориям. Большая часть инструментов рассчитана на профи, но есть и кое-что, чтобы напугать вашу тетушку. Фото: Pexel.com (CC0).
Подборка сформирована по пяти категориям. Большая часть инструментов рассчитана на профи, но есть и кое-что, чтобы напугать вашу тетушку. Фото: Pexel.com (CC0).

При состав­ле­нии спис­ка мы пони­ма­ли, что здесь есть про­бле­ма. Боль­шин­ство сер­ви­сов мож­но исполь­зо­вать как для хакер­ских атак, так и для устра­не­ния их послед­ствий или предот­вра­ще­ния взло­мов. Мы рас­счи­ты­ва­ем, что под­бор­ка этих инстру­мен­тов ста­нет под­спо­рьем силам добра. Боль­шая часть инстру­мен­тов рас­счи­та­на на про­фи, но есть и кое-что, что­бы напу­гать вашу тетуш­ку.

1. Сбор информации и анализ (Information Gathering & Analysis)

Google

Посколь­ку Google явля­ет­ся источ­ни­ком всех зна­ний, неуди­ви­тель­но, что мы счи­та­ем его одним из самых цен­ных ресур­сов для поис­ка инфор­ма­ции в Интер­не­те. Одна­ко в обла­сти ана­ли­за без­опас­но­сти звез­да Google све­тит ярче, когда мы гово­рим о поис­ке дан­ных, кото­рые не пред­на­зна­че­ны для поис­ка.

Google Dorking (исполь­зо­ва­ние рас­ши­рен­ных поис­ко­вых воз­мож­но­стей для иден­ти­фи­ка­ции кон­фи­ден­ци­аль­ной инфор­ма­ции или уяз­ви­мых узлов) может быть мето­дом для хоро­ших и нехо­ро­ших наме­ре­ний.

Ана­ли­ти­ки по без­опас­но­сти могут исполь­зо­вать Google и дру­гие поис­ко­вые систе­мы, что­бы нахо­дить фай­лы резерв­ных копий, инди­ка­то­ры небез­опас­ных веб-при­ло­же­ний и мно­гое дру­гое.

Для более кон­крет­ных при­ме­ров тако­го типа поис­ка и воз­мож­но­стей смот­ри­те Exploit-DB’s Google Hacking Database.

Shodan

Если Google ска­ни­ру­ет Интер­нет, что­бы най­ти нуж­ные вам сай­ты и дан­ные, то мис­сия Shodan заклю­ча­ет­ся в том, что­бы искать и индек­си­ро­вать устрой­ства, под­клю­чен­ные к Сети. Шодан – это «поис­ко­вая маши­на для интер­не­та вещей».

Счи­та­ет­ся, что имен­но Shodan был исполь­зо­ван в ата­ке на бен­зо­на­со­сы и авто­за­прав­ки по все­му миру, когда хаке­ры укра­ли тон­ны бен­зи­на и заме­ли сле­ды.

Подроб­но об этом кей­се може­те про­честь в отче­те ком­па­нии TrendMicro.

Maltego

Ресурс для про­ве­де­ния рас­сле­до­ва­ний, иссле­до­ва­ний, общей ана­ли­ти­ки и раз­вед­ке на осно­ве откры­тых дан­ных (OSINT). Это плат­фор­ма для поис­ка, агре­ги­ро­ва­ния и выстра­и­ва­ния свя­зей меж­ду раз­ны­ми типа­ми объ­ек­тов. Таки­ми как адре­са элек­трон­ной почты, учет­ные запи­си соци­аль­ных сетей и веб-сай­ты.

Ана­ли­ти­кам без­опас­но­сти Maltego помо­га­ет выяв­лять botnet’ы (сети вре­до­нос­ных про­грамм), ата­ку­ю­щие хосты, сер­ве­ры управ­ле­ния ата­ка­ми, свя­зи меж­ду ними.

2. Тестирование на проникновение (Penetration Testing)

Burp Suite и ZAP

Когда речь захо­дит о пол­но­функ­ци­о­наль­ных плат­фор­мах тести­ро­ва­ния про­ник­но­ве­ния, дву­мя при­знан­ны­ми име­на­ми явля­ют­ся сер­ви­сы Burp Suite и Zed Attack Proxy (ZAP).

Сервис Burp Suite.
Сер­вис Burp Suite.

Ряд ана­ли­ти­ков счи­та­ют их неза­ме­ни­мы­ми, хотя воз­мож­но­сти этих инстру­мен­тов похо­жи. Оба содер­жат мощ­ный набор функ­ций, таких как пере­хват­чик прок­си, веб-паук и fuzzer.

ZAP – бес­плат­ный сер­вис с откры­тым исход­ным кодом. Burp – ком­мер­че­ский про­дукт с неболь­шим набо­ром бес­плат­ных инстру­мен­тов для тести­ро­ва­ния сер­ви­са.

sqlmap

Сервис sqlmap.
Сер­вис sqlmap.

SQL-инъ­ек­ции могут быть раз­ру­ши­тель­ны­ми для любо­го сай­та и при­ло­же­ния. sqlmap хоро­шо справ­ля­ет­ся с зада­чей поис­ка точек инъ­ек­ции. Он содер­жит мно­же­ство тестов и может исполь­зо­вать­ся для авто­ма­ти­за­ции боль­шей части про­цес­са иден­ти­фи­ка­ции атак на сла­бые точ­ки сай­та.

Исхо­дя из задан­но­го спис­ка доме­нов, sqlmap может ска­ни­ро­вать сай­ты и авто­ма­ти­че­ски выпол­нять серию эври­сти­че­ских тестов по любым мето­дам вво­да, кото­рые он может иден­ти­фи­ци­ро­вать.

Как толь­ко точ­ка инъ­ек­ции най­де­на, sqlmap запо­ми­на­ет ее и затем может исполь­зо­вать­ся для запус­ка несколь­ких атак. В зави­си­мо­сти от мер без­опас­но­сти, раз­ме­щен­ных на хосте, sqlmap может выпол­нять зада­чи по рас­па­ков­ке уяз­ви­мой базы дан­ных, что­бы открыть обо­лоч­ку meterpreter, кото­рая будет исполь­зо­вать­ся в каче­стве бэк­дор (backdoor).

WPScan

WordPress охва­ты­ва­ет 59,9% доли рын­ка CMS, и было неиз­беж­но, что для него был раз­ра­бо­тан высо­ко­спе­ци­а­ли­зи­ро­ван­ный ска­нер уяз­ви­мо­стей. WPScan имен­но такой инстру­мент. Запуск WPScan явля­ет­ся пер­вым шагом в про­вер­ках уяз­ви­мо­стей WordPress.

WPScan быст­ро ска­ни­ру­ет сам WordPress и уста­нов­лен­ные пла­ги­ны. С неко­то­ры­ми допол­ни­тель­ны­ми настрой­ка­ми он про­ве­рит всех поль­зо­ва­те­лей, при­сут­ству­ю­щих на сай­те.

По окон­ча­нии WPScan завер­ша­ет набор функ­ций таким обра­зом, что­бы избе­жать обна­ру­же­ния, вклю­чая ран­до­ми­за­цию User-Agent и про­стую реа­ли­за­цию прок­си, кото­рая хоро­шо соче­та­ет­ся с тра­фи­ком Tor.

3. Экспертиза и анализ логов (Forensics & Log Analysis)

Highlighter

Firelay Highlighter – гра­фи­че­ски ори­ен­ти­ро­ван­ная ути­ли­та ана­ли­за жур­на­лов, кото­рая может быть полез­ной для адми­ни­стра­то­ров, ответ­ствен­ных за рас­сле­до­ва­ние атак.

Про­смотр гисто­грам­мы актив­но­сти может дать инфор­ма­цию о точ­ках вхо­да, вре­ме­ни атак, с чего они нача­лись и мно­гое дру­гое.

К сожа­ле­нию, Highlighter не обнов­лял­ся с 2011 года и, таким обра­зом, офи­ци­аль­но под­дер­жи­ва­ет толь­ко Windows 7 и ниже. Но он, без­услов­но, заслу­жи­ва­ет лояль­но­сти от тех, кто начал исполь­зо­вать его ранее.

INAV

Инстру­мент для ана­ли­за логов объ­ек­тов на Linux и Mac. Это про­смотр­щик жур­на­лов (small-scale log viewer), под­хо­дя­щий для быст­ро­го изу­че­ния кон­крет­ных дан­ных на одном хосте.

Удоб­ной функ­ци­ей явля­ет­ся реа­ли­за­ция SQL-запро­сов и лег­ко чита­е­мая под­свет­ка син­так­си­са.

The Command Line

Это немно­го лукав­ство и к это­му спис­ку инстру­мен­ты команд­ная стро­ка не совсем под­хо­дит, но хоро­шо знать инстру­мен­ты, кото­рые уже есть в вашей систе­ме.

Очень часто ана­ли­ти­ку необ­хо­ди­мо поки­нуть зону ком­фор­та и изу­чить опе­ра­ци­он­ные систе­мы, с кото­ры­ми он стал­ки­ва­ет­ся не так часто. Если вы экс­перт по Linux, воз­мож­но, вам будет инте­рес­но поболь­ше узнать о PowerShell, что­бы, рабо­тая с Windows, пони­мать эту систе­му.

Что­бы помочь вам разо­брать­ся в аль­тер­на­тив­ных систе­мах, инсти­тут SANS опуб­ли­ко­вал ряд удоб­ных спра­воч­ных мате­ри­а­лов, в том чис­ле руко­вод­ство по выжи­ва­нию Linux Shell и листы PowerShell Cheat Sheet.

Kali Linux

Этот инстру­мент мож­но назвать уни­вер­саль­ным. По край­ней мере Kali Linux может с лег­ко­стью пре­тен­до­вать на такое зва­ние. Сер­ви­са пред­на­зна­чен для про­ве­де­ния тестов на без­опас­ность. Это логи­че­ское про­дол­же­ние про­ек­та на базе Knoppix дис­три­бу­ти­ва BackTrack, кото­рый закон­чил­ся в 2013 году.

Kali Linux име­ет почти 600 пред­уста­нов­лен­ных про­грамм тести­ро­ва­ния про­ник­но­ве­ния, в том чис­ле Armitage (гра­фи­че­ский инстру­мент управ­ле­ния кибер-ата­кой), nmap (ска­нер пор­тов), Wireshark(ана­ли­за­тор тра­фи­ка), взлом­щик паро­лей John the RipperAircrack-ng (про­грамм­ный пакет для тести­ро­ва­ния бес­про­вод­ных локаль­ных сетей), Burp Suite и ска­нер без­опас­но­сти веб-при­ло­же­ний OWASP ZAP.

4. Анализ вредоносных программ (Malware Analysis)

CyberChef

Ред­кое соче­та­ние, когда кра­си­вый дизайн сов­ме­щен с авто­ма­ти­за­ци­ей повто­ря­ю­щих­ся скуч­ных опе­ра­ций. CyberChef – про­стое в исполь­зо­ва­нии веб-при­ло­же­ние, создан­ное для реше­ния ряда задач мани­пу­ли­ро­ва­ния дан­ны­ми, от про­сто­го коди­ро­ва­ния и деко­ди­ро­ва­ния до шиф­ро­ва­ния и сжа­тия в повто­ря­е­мом фор­ма­те.

С этой целью CyberChef поз­во­ля­ет поль­зо­ва­те­лю созда­вать и сохра­нять «рецеп­ты» из серии опе­ра­ций. Опе­ра­ции могут мас­шта­би­ро­вать­ся для выпол­не­ния ряда задач, осо­бен­но со встро­ен­ны­ми функ­ци­я­ми для извле­че­ния полез­ных строк, таких как IP-адре­са и элек­трон­ные пись­ма с деко­ди­ро­ван­но­го вво­да.

JS Beautifier

Мини­ми­за­ция JavaScript явля­ет­ся стан­дарт­ным про­цес­сом прак­ти­че­ски для каж­до­го веб-раз­ра­бот­чи­ка на рын­ке, да и для раз­ра­бот­чи­ков вре­до­нос­ных про­грамм тоже. JS Beautifier – про­стой онлайн-инстру­мент, исполь­зу­е­мый для авто­ма­ти­за­ции фор­ма­ти­ро­ва­ния мини- и запу­тан­ных JavaScript.

В целях деоб­фус­ка­ции вре­до­нос­ных про­грамм JS Beautifier может обна­ру­жи­вать и отбра­сы­вать общие мето­ды обфус­ка­ции, а так­же обра­ба­ты­вать раз­лич­ные коди­ров­ки сим­во­лов, такие как шест­на­дца­те­рич­ные.

JS Beautifier не явля­ет­ся иде­аль­ным реше­ни­ем всех про­блем и не может взять на себя всю рабо­ту по ана­ли­зу вре­до­нос­ных про­грамм. JS – это пер­вый шаг, но зато его мож­но исполь­зо­вать в каж­дом слу­чае зара­же­ния.

5. Другие полезные сервисы

Regex101

Пише­те код? – авто­ма­ти­че­ский гене­ра­тор кода (writing a code generator), со спра­воч­ной инфор­ма­ци­ей, под­сказ­ка­ми, исправ­ле­ни­я­ми. Regex101 начи­нал­ся как хоб­би, писал­ся раз­ра­бот­чи­ка­ми в сво­бод­ное вре­мя, пре­тер­пел мас­су ите­ра­ций. Сей­час это серьез­ный инстру­мент коде­ра. Осо­бен­но будет поле­зен начи­на­ю­щим «писа­те­лям».

Опыт­ные поль­зо­ва­те­ли так­же могут исполь­зо­вать Regex101. Встро­ен­ный отлад­чик поз­во­ля­ет наблю­дать за сво­им регу­ляр­ным выра­же­ни­ем.

Have I Been Pwned?

Меня взло­ма­ли? – воль­ный пере­вод назва­ния это­го сер­ви­са. За про­стым фаса­дом сто­ит серьез­ная рабо­та по сбо­ру и ана­ли­зу дан­ных о взло­мах баз дан­ных по все­ми миру.

Любой может про­ве­рить, были ли укра­де­ны ваши паро­ли от раз­лич­ных акка­ун­тов, при­вя­зан­ных к элек­трон­ной почте. Заби­ва­е­те свой адрес и смот­ри­те, когда и какие ваши акка­ун­ты постра­да­ли – паро­ли от них ушли в Сеть или ста­ли доступ­ны тре­тьим лицам.

Хоро­ший инстру­мент, что­бы напу­гать вашу тетуш­ку. Про­верь­те ее email и дока­жи­те, что ее акка­унт в соци­аль­ной сети ВКон­так­те был взло­ман еще в 2012 году.

Noscript / uMatrix

Ана­ли­ти­ку без­опас­но­сти при­хо­дит­ся про­во­дить мно­го вре­ме­ни, вза­и­мо­дей­ствуя с зара­жен­ны­ми веб-сай­та­ми. Это небез­опас­но. Вре­до­нос­ные скрип­ты на рас­смат­ри­ва­е­мых сай­тах будут пытать­ся совер­шить раз­лич­ные дей­ствия, такие как пере­ад­ре­са­ция бра­у­зе­ров. Что­бы защи­тить себя от этих сце­на­ри­ев, важ­но иметь лег­ко настра­и­ва­е­мое рас­ши­ре­ние для бра­у­зе­ра.

NoScript был гиган­том на этом рын­ке с сере­ди­ны 2000-х годов, предо­став­ляя поль­зо­ва­те­лям воз­мож­ность авто­ма­ти­че­ски бло­ки­ро­вать выпол­не­ние всех сце­на­ри­ев до тех пор, пока они не будут одоб­ре­ны. Одна­ко в насто­я­щее вре­мя он сов­ме­стим толь­ко с бра­у­зе­ром Firefox и дру­гим про­грамм­ным обес­пе­че­ни­ем Mozilla, что может быть огра­ни­чи­ва­ю­щим фак­то­ром для мно­гих ана­ли­ти­ков.

В зна­чи­тель­ной сте­пе­ни эту про­бле­му реше­но uMatrix – бранд­мау­э­ром бра­у­зе­ра, раз­ра­бо­тан­ным созда­те­лем попу­ляр­но­го бло­ка­то­ра рекла­мы uBlock Origin.

uMatrix менее удо­бен для поль­зо­ва­те­ля, чем NoScript, так как изна­чаль­но поме­чен отмет­кой «Для про­дви­ну­тых поль­зо­ва­те­лей».

Ста­тья под­го­тов­ле­на по мате­ри­а­лам сай­та wordfence.com