用Ubuntu构建开源数字取证工具 —— Bitscout

面对真实的网络犯罪现场,司法线索必须保证不被篡改,这也是某些调查耗费了大量时间的一个主要原因。其需要有关工作人员跑到罪案现场,并在不破坏证据的情况下提取恶意软件样本。

为了解决打击网络犯罪的这个巨大痛点,卡巴斯基实验室特地发布了一款免费的网络取证工具,它就是 Bit Scout 。其允许研究人员“远程收集重要的司法鉴定材料,通过网络(或本地附加存储)获得完整的磁盘镜像,或者远程协助处理恶意软件事宜”。

最开始这只是卡巴斯基工作人员Vitaly Kamluk的个人项目,但随着卡巴斯基对数字取证工具方面的需求不断增长,这个项目也一直在被不断改进。

在谈到自己的作品时,Vitaly Kamluk表示:“Bitscout项目开始于多年之前,最早是我的一项兴趣。我一直在研究LiveCD的制作和定制。

后来,我们需要在非洲一个国家的一台受感染计算机上查找攻击者踪迹,我认为自己可以帮忙。我在Linux上制作了一个简单和简化的LiveCD,预配置了VPN客户端和SSH服务器,并通过互联网将其分享给系统所有者。

他利用其烧制了光盘,通过光盘启动了受感染计算机。

这个工具非常好用,我可以通过互联网,连接到远程计算机,并且完全控制它。虽然连接很慢,但幸运的是,我使用的远程桌面访问工具对带宽要求不高。

一个文本终端就足够完成这项工作,通过较慢的拨号互联网服务也能够胜任。我设法帮助系统所有者获取到受感染系统的磁盘镜像,发现了恶意文件和相关文件的位置,最为重要的是,提取了有关威胁的重要信息,包括一个恶意软件释放器和造成感染的鱼叉式钓鱼邮件。

随着时间的推移,类似的情况出现过多次。在同国际刑警组织进行合作时,我们也采用了同样的模式:首先,执法人员前往物理磁盘采集地点,在得到当地执法机关的许可后,帮助我们在现场收集最重要的证据,而且速度非常快。这种方法节省了我们的出差时间,帮助执法机关快速获取网络攻击后留下的关键证据。”

此次发布的版本为Bitscout v2.0,其1.0版本至今未公开发布过。这款工具可以帮助取证调查人员对目标系统进行远程分析,并允许系统拥有者随时监控调查人员的取证活动以确保他们只能访问受限的目标磁盘。

无论是对于安全研究人员、网络犯罪执法部门或是教育机构,这都是一款非常棒的工具。

研究人员此次发布的是Bitscout的镜像文件,因此该工具必须写入一个可移动存储驱动器(U盘)中才可以使用。

让系统从U盘启动之后,研究人员可以使用VPN和SSH远程连接至Bitscout。Bitscout中包含了几种专门为取证分析而设计的热门工具,但用户也可以根据自己的需要来自定义配置这些工具或者添加其他工具。

为了帮助有兴趣的朋友把这款开源数字取证工具用起来,这里放上一则视频教程。

以便新手可以对照着在Ubuntu上构建出成品。

视频地址:http://v.qq.com/x/page/f0744agppqa.html

该工具的几个特点:

1.手动修复受感染的计算机(从rootkit感染中修复)。

2.共享远程会话,可以培训用户,提高分析的速度。

3.能够通过网络从原始服务器硬件克隆磁盘,不需要待在冰冷的服务器室监控整个进度。

4.避免图形界面连接效果不佳。Bitscout使用的是基于文本的用户交互界面(TUI)。

下载地址:

https://github.com/vitaly-kamluk/bitscout

The Kaspersky BitScout Cyber Forensics Tool Revealed

忘记网络设备或应用的默认密码怎么办?

做物联网的,少不了要跟路由器等各种网络设备、PaaS应用打交道。可是要不小心在工作中忘记设备或应用的默认密码怎么办?那可就耽误事情了。今天就给大家介绍一个小工具 —— Passhunt。

这是一款用于寻找路由器、交换机等网络设备、Web 应用等默认身份凭证的工具。大约能搜索世界各地523个供应商和他们的2084个默认密码。各位可保存好,以备不时之需。

安装:

git clone https://github.com/Viralmaniar/Passhunt.git
cd Passhunt
pip3 install -r requirements.txt
python3 Passhunt.py

使用:

1: 输出支持的设备厂商/Web应用列表。
2: 输入厂商名称并搜索默认的登陆凭据。
3: 退出程序

好了,不用谢。欢迎关注“IoT前哨站”微信和微博。

一行命令从 APK 文件中提取 Endpoint 及 URL

做IoT的人免不了要接触Android,接触Android的人又免不了要研究别人的App应用。

Diggy,一款能够从 apk 文件中提取 endpoint 及 URL 的工具,只要一行命令就可以帮大家提取出相关Android apk文件的安装信息和互联网访问信息。

下载地址:https://raw.githubusercontent.com/UltimateHackers/Diggy/master/diggy.sh

使用方法如下:

解压反编译需要一点时间,当然看你自己机器性能了。

我们的树莓派受Meltdown或Spectre漏洞影响吗?

2018年刚开了个头,Meltdown 和 Specter 这两组CPU漏洞就被公布出来,在业内引起轩然大波。波及了几乎所有由英特尔、AMD或ARM在过去十年制造的CPU。

前者对应CVE-2017-5754(乱序执行缓存污染),影响Intel CPU和部分ARM CPU。

后者对应CVE-2017-5753(边界检查绕过)与CVE-2017-5715(分支目标注入),影响Intel CPU和AMD CPU,以及主流的ARM CPU。

目前主流的PC、手机以及服务器,几乎都受到这两组硬件漏洞的影响。这些漏洞将允许恶意程序窃取机器上的任意数据。

关于该漏洞细节网上已经有很多内容,各大厂商也纷纷表示已推出补丁修复。

但不管怎样,了解一下自己的机器是否受影响还是有必要的。

一位名叫Stéphane Lesimple的开发者写了个很好用的脚本,然后一群热心网友又帮着完善了代码。方便了大家的检测。

这里我先试一下自己的DELL游戏笔记本 ,系统是Ubuntu 17.04,处理器是Intel 酷睿i7-6700HQ。

把脚本下载到本地,用root的权限执行。

检测脚本下载地址:https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh

结果两组漏洞,三个CVE,全中。

这意味着这台笔记本目前仍处在危险之中。

之前有消息说所有树莓派都没有受到最近披露的Meltdown 和 Spectre漏洞影响。但有些厂商似乎又在发布针对树莓派的补丁。

那咱们ARM芯片的树莓派,情况到底怎么样?

接着我试了一下Raspberry Pi 3B ,系统是Raspbian 9,处理器是博通BCM2835(板载标识BCM2837)。

结果还算让人满意,至少咱们的树莓派3B不受这两组漏洞威胁了。

因为修补这些漏洞,多少会降低系统的性能。而树莓派作为低功耗的IoT代表,本来就不怎么快,再降低性能就太可怜了。

想要更多,请关注“IoT前哨站”微博或微信公众号