Профессиональные инструменты для аналитиков безопасности, которые верят в светлую сторону Силы

При составлении списка мы понимали, что здесь есть проблема. Большинство сервисов можно использовать как для хакерских атак, так и для устранения их последствий или предотвращения взломов. Мы рассчитываем, что подборка этих инструментов станет подспорьем силам добра. Большая часть инструментов рассчитана…

При составлении списка мы понимали, что здесь есть проблема. Большинство сервисов можно использовать как для хакерских атак, так и для устранения их последствий или предотвращения взломов. Мы рассчитываем, что подборка этих инструментов станет подспорьем силам добра. Большая часть инструментов рассчитана на профи, но есть и кое-что, чтобы напугать вашу тетушку.

1. Сбор информации и анализ (Information Gathering & Analysis)

Google

Поскольку Google является источником всех знаний, неудивительно, что мы считаем его одним из самых ценных ресурсов для поиска информации в Интернете. Однако в области анализа безопасности звезда Google светит ярче, когда мы говорим о поиске данных, которые не предназначены для поиска.

Google Dorking (использование расширенных поисковых возможностей для идентификации конфиденциальной информации или уязвимых узлов) может быть методом для хороших и нехороших намерений.

Аналитики по безопасности могут использовать Google и другие поисковые системы, чтобы находить файлы резервных копий, индикаторы небезопасных веб-приложений и многое другое.

Для более конкретных примеров такого типа поиска и возможностей смотрите Exploit-DB’s Google Hacking Database.

Shodan

Если Google сканирует Интернет, чтобы найти нужные вам сайты и данные, то миссия Shodan заключается в том, чтобы искать и индексировать устройства, подключенные к Сети. Шодан – это «поисковая машина для интернета вещей».

Считается, что именно Shodan был использован в атаке на бензонасосы и автозаправки по всему миру, когда хакеры украли тонны бензина и замели следы.

Подробно об этом кейсе можете прочесть в отчете компании TrendMicro.

Maltego

Ресурс для проведения расследований, исследований, общей аналитики и разведке на основе открытых данных (OSINT). Это платформа для поиска, агрегирования и выстраивания связей между разными типами объектов. Такими как адреса электронной почты, учетные записи социальных сетей и веб-сайты.

Аналитикам безопасности Maltego помогает выявлять botnet’ы (сети вредоносных программ), атакующие хосты, серверы управления атаками, связи между ними.

2. Тестирование на проникновение (Penetration Testing)

Burp Suite и ZAP

Когда речь заходит о полнофункциональных платформах тестирования проникновения, двумя признанными именами являются сервисы Burp Suite и Zed Attack Proxy (ZAP).

Сервис Burp Suite.
Сервис Burp Suite.

Ряд аналитиков считают их незаменимыми, хотя возможности этих инструментов похожи. Оба содержат мощный набор функций, таких как перехватчик прокси, веб-паук и fuzzer.

ZAP – бесплатный сервис с открытым исходным кодом. Burp – коммерческий продукт с небольшим набором бесплатных инструментов для тестирования сервиса.

sqlmap

Сервис sqlmap.
Сервис sqlmap.

SQL-инъекции могут быть разрушительными для любого сайта и приложения. sqlmap хорошо справляется с задачей поиска точек инъекции. Он содержит множество тестов и может использоваться для автоматизации большей части процесса идентификации атак на слабые точки сайта.

Исходя из заданного списка доменов, sqlmap может сканировать сайты и автоматически выполнять серию эвристических тестов по любым методам ввода, которые он может идентифицировать.

Как только точка инъекции найдена, sqlmap запоминает ее и затем может использоваться для запуска нескольких атак. В зависимости от мер безопасности, размещенных на хосте, sqlmap может выполнять задачи по распаковке уязвимой базы данных, чтобы открыть оболочку meterpreter, которая будет использоваться в качестве бэкдор (backdoor).

WPScan

WordPress охватывает 59,9% доли рынка CMS, и было неизбежно, что для него был разработан высокоспециализированный сканер уязвимостей. WPScan именно такой инструмент. Запуск WPScan является первым шагом в проверках уязвимостей WordPress.

WPScan быстро сканирует сам WordPress и установленные плагины. С некоторыми дополнительными настройками он проверит всех пользователей, присутствующих на сайте.

По окончании WPScan завершает набор функций таким образом, чтобы избежать обнаружения, включая рандомизацию User-Agent и простую реализацию прокси, которая хорошо сочетается с трафиком Tor.

3. Экспертиза и анализ логов (Forensics & Log Analysis)

Highlighter

Firelay Highlighter – графически ориентированная утилита анализа журналов, которая может быть полезной для администраторов, ответственных за расследование атак.

Просмотр гистограммы активности может дать информацию о точках входа, времени атак, с чего они начались и многое другое.

К сожалению, Highlighter не обновлялся с 2011 года и, таким образом, официально поддерживает только Windows 7 и ниже. Но он, безусловно, заслуживает лояльности от тех, кто начал использовать его ранее.

INAV

Инструмент для анализа логов объектов на Linux и Mac. Это просмотрщик журналов (small-scale log viewer), подходящий для быстрого изучения конкретных данных на одном хосте.

Удобной функцией является реализация SQL-запросов и легко читаемая подсветка синтаксиса.

The Command Line

Это немного лукавство и к этому списку инструменты командная строка не совсем подходит, но хорошо знать инструменты, которые уже есть в вашей системе.

Очень часто аналитику необходимо покинуть зону комфорта и изучить операционные системы, с которыми он сталкивается не так часто. Если вы эксперт по Linux, возможно, вам будет интересно побольше узнать о PowerShell, чтобы, работая с Windows, понимать эту систему.

Чтобы помочь вам разобраться в альтернативных системах, институт SANS опубликовал ряд удобных справочных материалов, в том числе руководство по выживанию Linux Shell и листы PowerShell Cheat Sheet.

Kali Linux

Этот инструмент можно назвать универсальным. По крайней мере Kali Linux может с легкостью претендовать на такое звание. Сервиса предназначен для проведения тестов на безопасность. Это логическое продолжение проекта на базе Knoppix дистрибутива BackTrack, который закончился в 2013 году.

Kali Linux имеет почти 600 предустановленных программ тестирования проникновения, в том числе Armitage (графический инструмент управления кибер-атакой), nmap (сканер портов), Wireshark(анализатор трафика), взломщик паролей John the RipperAircrack-ng (программный пакет для тестирования беспроводных локальных сетей), Burp Suite и сканер безопасности веб-приложений OWASP ZAP.

4. Анализ вредоносных программ (Malware Analysis)

CyberChef

Редкое сочетание, когда красивый дизайн совмещен с автоматизацией повторяющихся скучных операций. CyberChef – простое в использовании веб-приложение, созданное для решения ряда задач манипулирования данными, от простого кодирования и декодирования до шифрования и сжатия в повторяемом формате.

С этой целью CyberChef позволяет пользователю создавать и сохранять «рецепты» из серии операций. Операции могут масштабироваться для выполнения ряда задач, особенно со встроенными функциями для извлечения полезных строк, таких как IP-адреса и электронные письма с декодированного ввода.

JS Beautifier

Минимизация JavaScript является стандартным процессом практически для каждого веб-разработчика на рынке, да и для разработчиков вредоносных программ тоже. JS Beautifier – простой онлайн-инструмент, используемый для автоматизации форматирования мини- и запутанных JavaScript.

В целях деобфускации вредоносных программ JS Beautifier может обнаруживать и отбрасывать общие методы обфускации, а также обрабатывать различные кодировки символов, такие как шестнадцатеричные.

JS Beautifier не является идеальным решением всех проблем и не может взять на себя всю работу по анализу вредоносных программ. JS – это первый шаг, но зато его можно использовать в каждом случае заражения.

5. Другие полезные сервисы

Regex101

Пишете код? – автоматический генератор кода (writing a code generator), со справочной информацией, подсказками, исправлениями. Regex101 начинался как хобби, писался разработчиками в свободное время, претерпел массу итераций. Сейчас это серьезный инструмент кодера. Особенно будет полезен начинающим «писателям».

Опытные пользователи также могут использовать Regex101. Встроенный отладчик позволяет наблюдать за своим регулярным выражением.

Have I Been Pwned?

Меня взломали? – вольный перевод названия этого сервиса. За простым фасадом стоит серьезная работа по сбору и анализу данных о взломах баз данных по всеми миру.

Любой может проверить, были ли украдены ваши пароли от различных аккаунтов, привязанных к электронной почте. Забиваете свой адрес и смотрите, когда и какие ваши аккаунты пострадали – пароли от них ушли в Сеть или стали доступны третьим лицам.

Хороший инструмент, чтобы напугать вашу тетушку. Проверьте ее email и докажите, что ее аккаунт в социальной сети ВКонтакте был взломан еще в 2012 году.

Noscript / uMatrix

Аналитику безопасности приходится проводить много времени, взаимодействуя с зараженными веб-сайтами. Это небезопасно. Вредоносные скрипты на рассматриваемых сайтах будут пытаться совершить различные действия, такие как переадресация браузеров. Чтобы защитить себя от этих сценариев, важно иметь легко настраиваемое расширение для браузера.

NoScript был гигантом на этом рынке с середины 2000-х годов, предоставляя пользователям возможность автоматически блокировать выполнение всех сценариев до тех пор, пока они не будут одобрены. Однако в настоящее время он совместим только с браузером Firefox и другим программным обеспечением Mozilla, что может быть ограничивающим фактором для многих аналитиков.

В значительной степени эту проблему решено uMatrix – брандмауэром браузера, разработанным создателем популярного блокатора рекламы uBlock Origin.

uMatrix менее удобен для пользователя, чем NoScript, так как изначально помечен отметкой «Для продвинутых пользователей».

Статья подготовлена по материалам сайта wordfence.com