Mutt
Professional
- Messages
- 1,452
- Reaction score
- 1,037
- Points
- 113
Ознакомьтесь с этими бесплатными выдающимися программными инструментами, которые упростят вашу повседневную работу по обеспечению безопасности, будь то тестирование на проникновение, OSINT, оценка уязвимостей и многое другое.
Как профессионал в области информационной безопасности, вы, возможно, уже знакомы с устаревшими инструментами сетевого мониторинга и безопасности, такими как Nmap, Wireshark или Snort, а также со взломщиками паролей, такими как Ophcrack. Наличие этих приложений в вашем распоряжении было неотъемлемой частью выступления.
Какие еще бесплатные инструменты и услуги вам пригодятся? Следующий список из почти двух десятков инструментов и услуг включает в себя все, от взломщиков паролей до программных декомпиляторов, систем управления уязвимостями и сетевых анализаторов. Какой бы ни была ваша роль в системе безопасности, вы найдете что-нибудь полезное в этом списке.
Вот, в частности, 21 лучший бесплатный инструмент безопасности:
Мальтего
Первоначально разработанное компанией Paterva, Maltego - это приложение для криминалистической экспертизы и аналитики с открытым исходным кодом (OSINT), предназначенное для предоставления четкой картины угроз для среды пользователя. Он демонстрирует сложность и серьезность отдельных точек отказа, а также доверительных отношений, существующих в пределах инфраструктуры. Он извлекает информацию, размещенную в Интернете, будь то текущая конфигурация маршрутизатора на границе сети компании или текущее местонахождение вице-президента вашей компании. У коммерческой лицензии есть ценник, но версия для сообщества бесплатна с некоторыми ограничениями.
Вы можете расширить возможности Maltego, интегрировав его с VirusTotal, Wayback Machine Internet Archive., и более пяти десятков Мальтего «перевоплощаются».
OWASP Zed Attack Proxy (ZAP)
Zed Attack Proxy (ZAP) - это удобный инструмент для тестирования на проникновение, который обнаруживает уязвимости в веб-приложениях. Он предоставляет автоматические сканеры и набор инструментов для тех, кто хочет найти уязвимости вручную. Он предназначен для использования практиками с широким спектром опыта в области безопасности и идеально подходит для функциональных тестировщиков, которые плохо знакомы с тестированием на проникновение, или для разработчиков: есть даже официальный плагин ZAP для приложения непрерывной интеграции и доставки Jenkins.
Shodan
Shodan - это популярная поисковая система Интернета вещей (IoT) для устройств для охоты, таких как подключенные к Интернету веб-камеры, серверы и другие интеллектуальные устройства. Выполнение запросов Shodan может помочь вам идентифицировать общедоступные серверы и устройства , включая устройства считывания номерных знаков, светофоры, медицинские устройства, водоочистные сооружения, ветряные турбины и многое другое «умное».
Это может быть особенно полезно для поиска устройств, уязвимых для известных эксплойтов и уязвимостей. Тестер на проникновение может, например, использовать поисковую систему IoT, такую как Shodan, в рамках своей разведывательной деятельности, чтобы идентифицировать любые непреднамеренно открытые приложения или серверы, принадлежащие клиенту тестирования на проникновение.
Shodan можно использовать бесплатно, когда дело доходит до основных функций, хотя такие варианты, как платные планы и пожизненная лицензия, предлагают возможность использовать расширенные фильтры поиска. Академическое повышение также доступно бесплатно студентам, профессорам и ИТ-персоналу в университетах.
Kali Linux
Kali Linux - это основанный на Linux дистрибутив для тестирования на проникновение, ранее известный как BackTrack. Специалисты по безопасности используют его для выполнения оценок в чисто нативной среде, предназначенной для взлома. Пользователи имеют легкий доступ к множеству инструментов, от сканеров портов до взломщиков паролей. Вы можете загрузить ISO-образы Kali для установки в 32-битных или 64-битных системах x86 или на процессорах ARM. Он также доступен как образ виртуальной машины для VMware или Hyper-V.
Инструменты Kali сгруппированы по следующим категориям: сбор информации, анализ уязвимостей, беспроводные атаки, веб-приложения, инструменты эксплуатации, стресс-тестирование, криминалистика, сниффинг и спуфинг, атаки на пароли, поддержание доступа, обратный инжиниринг, отчетность и взлом оборудования.
DNS-дампстер
DNS Dumpster предоставит вам все необходимое для исследования вашего домена и разведки DNS. DNS Dumpster - это бесплатный веб-сервис для исследования домена, который позволяет вам найти все о домене, от хостов до труднодоступных субдоменов, которые вы хотели бы использовать в рамках оценки безопасности.
DNS Dumpster предоставляет данные анализа доменных имен как в виде файла Excel, так и в виде визуальной графики (карты), которая может помочь вам лучше понять связи между доменом и его поддоменами. Кроме того, обнаружение зависших, заброшенных или неправильно припаркованных поддоменов может помочь исследователю выявить уязвимости, связанные с захватом поддоменов.
Фотон
Photon - это сверхбыстрый поисковый робот, предназначенный для сбора OSINT. Его можно использовать для получения адресов электронной почты, учетных записей в социальных сетях, корзин Amazon и другой важной информации, относящейся к домену, и он использует общедоступные источники, такие как Google и Wayback Machine в Internet Archive. Написанный на Python, Photon имеет возможность добавлять плагины, например, для экспорта собранных данных в аккуратно отформатированный JSON или для интеграции DNSDumpster с Photon.
Гибридный анализ
Гибридный анализ - это веб-служба анализа вредоносных программ на базе Falcon Sandbox от CrowdStrike. Большинство знакомо с VirusTotal, механизмом анализа вредоносных программ, с помощью которого члены сообщества могут отправлять образцы подозрительных вредоносных программ и URL-адреса для анализа с помощью более чем пяти десятков антивирусных ядер. Собранные образцы и артефакты затем анализируются и сохраняются на серверах VirusTotal для использования в будущем, при этом создается общедоступный отчет об анализе, который может просмотреть любой желающий.
Гибридный анализ не сильно отличается, за исключением того, что он не только анализирует отправленные URL-адреса и образцы через свою собственную песочницу, но также подтверждает результаты с помощью VirusTotal и MetaDefender.. Более того, хотя VirusTotal не позволяет пользователям загружать образцы вредоносных программ бесплатно, гибридный анализ позволяет это зарегистрированным членам сообщества, которые прошли простой процесс проверки (т. е. предварительно планируют внести образцы в гибридный анализ и использовать любые загруженные образцы для исследования. целей). Если у вас есть образец хэша вредоносного ПО из отчета VirusTotal, часто стоит запустить его с помощью гибридного анализа, чтобы проверить, можете ли вы загрузить образец бесплатно.
Нессус
Nessus - один из самых популярных в мире инструментов для оценки уязвимости и конфигурации. Он начинал свою жизнь как проект с открытым исходным кодом, но разработчик Tenable перешел на проприетарную лицензию еще в версии 3. По состоянию на октябрь 2020 года это версия 8.12.1. Несмотря на это, Nessus по-прежнему бесплатен для личного использования в домашних сетях, где он сканирует до 16 IP-адресов. Коммерческая версия позволит сканировать неограниченное количество IP-адресов. Согласно веб-сайту Tenable, Nessus обеспечивает высокоскоростное обнаружение, аудит конфигурации, профилирование активов, обнаружение конфиденциальных данных, интеграцию управления исправлениями и анализ уязвимостей.
ЭНИ.РАН
ANY.RUN значительно превосходит возможности любой песочницы для анализа вредоносных программ, которую я видел, и обладает такими преимуществами, как доступ к онлайн-виртуальной машине (ВМ). Во-первых, служба полностью работает в вашем веб-браузере и позволяет загружать образец вредоносного ПО, настраивать виртуальную среду, которую вы хотите использовать для анализа, и показывает вам сеанс виртуальной машины в реальном времени, который записывается для последующих воспроизведений.
Поиск хэша образца вредоносного ПО в Google часто вызывает ранее выполненный анализ ANY.RUN, выполненный членами сообщества. Например, вот отчет ANY.RUN о майнере криптовалюты, который я проанализировал с помощью ANY.RUN во время исследования недавней атаки на инфраструктуру GitHub через GitHub Actions.
ANY.RUN не только позволяет воспроизвести записанный сеанс анализа, но и имеет простые кнопки пользовательского интерфейса, вызываемые одним щелчком, для отображения индикаторов компрометации (IoC), сетевых запросов, графиков процессов и результатов VirusTotal для образца. Веб-сервис также позволяет бесплатно загрузить проанализированный образец.
Услуга бесплатна для всех, хотя некоторые функции (увеличение времени анализа до более чем 60 секунд, использование 64-разрядной ОС и т. Д.) Требуют, чтобы пользователь подписался на платный тарифный план. Я часто запускаю образцы вредоносных программ как с помощью ANY.RUN, так и с помощью гибридного анализа, в дополнение к использованию VirusTotal для максимального увеличения результатов исследования.
Браузер Tor
Ни одна статья об инструментах безопасности не может быть полной без упоминания Tor Browser. Проект Tor разработан для анонимного общения и веб-серфинга, который работает путем шифрования вашего интернет-трафика и передачи его на несколько хостов («узлов») по всему миру. Это делает практически невозможным узнать местонахождение или личность пользователя Tor.
Tor работает на бесплатной добровольной оверлейной сети из более чем 7000 тысяч узлов ретрансляции по всему миру, предназначенной для борьбы с сетевым наблюдением или анализом трафика. Помимо использования Tor Browser для веб-серфинга, ориентированного на конфиденциальность, основной вариант использования инструмента остается шлюзом в темную сеть и многие сайты «.onion», к которым можно получить доступ только через Tor. Поэтому неудивительно, что вы обнаружите, что Tor скрывается в наборах инструментов аналитиков угроз и исследователей даркнета.
DarkSearch.io
Говоря о дарквебе, разве не поможет, если мы также упомянули для него поисковую систему? Хотя частые посетители даркнета могут уже знать, где что искать, для новичков darksearch.io может стать хорошей платформой для начала своей исследовательской деятельности.
Как и другая поисковая система в темной сети, Ahmia, DarkSearch бесплатна, но дополнительно поставляется с бесплатным API для автоматического поиска. Хотя у Ahmia и DarkSearch есть сайты .onion, вам не обязательно переходить на версии .onion или использовать Tor для доступа к любой из этих поисковых систем. Простой доступ к darksearch.io из обычного веб-браузера позволит вам искать в темной сети.
Джон Потрошитель
John the Ripper - взломщик паролей, доступный для многих разновидностей UNIX, Windows, DOS, BeOS и OpenVMS, хотя вам, вероятно, придется скомпилировать бесплатную версию самостоятельно. В основном он используется для обнаружения слабых паролей UNIX. Помимо нескольких типов хэшей паролей crypt (3), наиболее часто встречающихся в различных системах UNIX, из коробки поддерживаются хэши Windows LM, а также множество других хэшей и шифров в версии, расширенной сообществом. Расширенная версия сообщества включает поддержку графических процессоров для ускорения поиска.
Проверка зависимости OWASP
OWASP Dependency-Check - это бесплатный инструмент анализа состава программного обеспечения (SCA) с открытым исходным кодом, который может анализировать зависимости программного проекта на предмет известных общедоступных уязвимостей. Помимо консультаций с NVD и другими общедоступными источниками информации об уязвимостях, Dependency-Check также обращается к Sonatype OSS Index для получения информации об уязвимостях, относящейся к точному названию или координате программного компонента, а не к более обширным CPE, предоставляемым NVD.
Microsoft Visual Studio
Некоторых может удивить упоминание об инструменте интегрированной среды разработки (IDE), таком как Visual Studio, здесь, но будьте уверены, что на то есть веская причина. Microsoft Visual Studio пригодится при анализе троянских библиотек DLL, таких как та, которая используется в атаке цепочки поставок SolarWinds, или при обратном проектировании двоичных файлов C # /. NET.
Например, при открытии .NET DLL с помощью Visual Studio инструмент будет приблизительно реконструировать исходный исходный код из промежуточного языка Microsoft (MSIL), содержащегося в DLL, что упрощает обратное проектирование и понимание цели кода. Visual Studio работает в операционных системах Windows и Mac, и существует бесплатная версия сообщества, доступная для загрузки.
Для тех, кто заинтересован только в декомпиляторе DLL, а не в полноценной среде IDE, можно использовать dotPeek от JetBrains, хотя в настоящее время он доступен только для пользователей Windows.
Декомпилятор Java
Подобно тому, как вам может понадобиться время от времени декомпилировать и анализировать библиотеки DLL Windows, то же самое может быть в случае программ Java, выпущенных в виде файлов JAR. Исполняемые пакеты, написанные на Java, часто поставляются в виде JAR-файлов, которые, по сути, являются ZIP-архивами, содержащими несколько файлов «классов» Java.
Эти файлы классов написаны в байт-коде Java (промежуточный набор инструкций для виртуальной машины Java), а не в собственном коде, специфичном для среды вашей операционной системы. Вот почему Java традиционно рекламируется как язык « пиши один раз, запускай везде (WORA)».
Для обратного проектирования JAR и приблизительного преобразования байт-кода в исходную форму исходного кода пригодится такой инструмент, как Java Decompiler (JD), который достаточно хорошо выполняет свою работу. JD доступен бесплатно как отдельная графическая утилита под названием JD-GUI или как плагин Eclipse IDE, JD-Eclipse.
ModSecurity
ModSecurity - это набор инструментов для мониторинга, ведения журналов и контроля доступа веб-приложений, разработанный командой Trustwave SpiderLabs. Он может выполнять полное ведение журнала транзакций HTTP, собирать полные запросы и ответы, проводить непрерывную оценку безопасности и укреплять веб-приложения. Вы можете встроить его в свою установку Apache 2.x или развернуть как обратный прокси-сервер для защиты любого веб-сервера.
Люкс Burp
Burp Suite - это платформа для тестирования безопасности веб-приложений. Его различные инструменты поддерживают весь процесс тестирования, от первоначального сопоставления и анализа поверхности атаки приложения до поиска и использования уязвимостей безопасности. Инструменты в пакете включают прокси-сервер, веб-паук, злоумышленник и так называемый повторитель, с помощью которого запросы могут быть автоматизированы. Portswigger предлагает бесплатную версию, в которой отсутствует сканер веб-уязвимостей и некоторые расширенные ручные инструменты.
Metasploit
HD Мур создал проект Metasploit в 2003 году, чтобы предоставить сообществу специалистов по безопасности общедоступный ресурс для разработки эксплойтов. Результатом этого проекта стала Metasploit Framework, платформа с открытым исходным кодом для написания инструментов безопасности и эксплойтов. В 2009 году Rapid7, компания, занимающаяся разработкой решений для управления уязвимостями, приобрела Metasploit Project. До приобретения вся разработка фреймворка происходила в свободное время разработчика, занимая большую часть выходных и ночей. Rapid7 согласился профинансировать штатную команду разработчиков и сохранить исходный код в рамках лицензии BSD с тремя пунктами, которая используется до сих пор.
Aircrack-ng
То, что Wireshark делает для Ethernet, Aircrack-ng делает для Wi-Fi. Фактически, это полный набор инструментов для мониторинга пакетов, тестирования оборудования, взлома паролей и запуска атак на сети Wi-Fi. Версия 1.2, выпущенная в апреле 2018 года, значительно улучшает скорость и безопасность, а также расширяет диапазон оборудования, с которым может работать Aircrack-ng.
Интеллект X
Intelligence X - это первая в своем роде служба архивирования и поиска, которая сохраняет не только исторические версии веб-страниц, но и все утекшие наборы данных, которые в противном случае удаляются из Интернета из-за нежелательного характера контента или по юридическим причинам. Хотя это может показаться похожим на то, что делает Wayback Machine Internet Archive, у Intelligence X есть некоторые резкие различия, когда дело доходит до типа контента, на сохранении которого ориентирована служба. Когда дело доходит до сохранения наборов данных, какими бы спорными они ни были, Intelligence X не делает различий.
Intelligence X ранее сохранял список из более чем 49 000 VPN-сервисов Fortinet, которые были признаны уязвимыми для ошибки обхода пути. Позже в течение недели пароли в открытом виде к этим VPN также были опубликованы на хакерских форумах, которые, опять же, хотя и были удалены с этих форумов, но были сохранены Intelligence X.
Ранее сервис индексировал данные, собранные с почтовых серверов известных политических деятелей, таких как Хиллари Клинтон и Дональд Трамп. Еще один недавний пример СМИ, проиндексированных в Intelligence X, - это кадры беспорядков на Капитолийском холме 2021 года и утечка данных в Facebook о 533 миллионах профилей. Для сборщиков информации, политических аналитиков, репортеров и исследователей безопасности такая информация может быть невероятно ценной по-разному.
GrayhatWarfare
Существует поисковая система для всего, в том числе для открытых сегментов и файловых блобов, как преднамеренных, так и случайных. GrayhatWarfare индексирует общедоступные ресурсы, такие как корзины Amazon AWS и общие хранилища BLOB-объектов Azure.
На сегодняшний день движок проиндексировал более 4,2 миллиарда файлов. Фактически, недавнее обнаружение утечки данных, в результате которой были обнаружены паспорта и удостоверения личности волейбольных журналистов со всего мира, стало возможным благодаря тому, что GrayhatWarfare проиндексировала обнаруженный объект Azure, в котором произошла утечка этой информации.
Для исследователей безопасности и пентестеров GrayhatWarfare может стать отличным ресурсом для обнаружения случайно подвергшихся воздействию сегментов хранилища и предложения соответствующих мер по исправлению положения.
Как профессионал в области информационной безопасности, вы, возможно, уже знакомы с устаревшими инструментами сетевого мониторинга и безопасности, такими как Nmap, Wireshark или Snort, а также со взломщиками паролей, такими как Ophcrack. Наличие этих приложений в вашем распоряжении было неотъемлемой частью выступления.
Какие еще бесплатные инструменты и услуги вам пригодятся? Следующий список из почти двух десятков инструментов и услуг включает в себя все, от взломщиков паролей до программных декомпиляторов, систем управления уязвимостями и сетевых анализаторов. Какой бы ни была ваша роль в системе безопасности, вы найдете что-нибудь полезное в этом списке.
Вот, в частности, 21 лучший бесплатный инструмент безопасности:
- Мальтего
- OWASP Zed Attack Proxy (ZAP)
- Shodan
- Kali Linux
- DNS-дампстер
- Фотон
- Гибридный анализ
- Нессус
- ЭНИ.РАН
- Браузер Tor
- Darksearch.io
- Джон Потрошитель
- Проверка зависимости OWASP
- Microsoft Visual Studio
- Декомпилятор Java
- ModSecurity
- Люкс Burp
- Metasploit
- Aircrack-ng
- Интеллект X
- GrayhatWarfare
Мальтего
Первоначально разработанное компанией Paterva, Maltego - это приложение для криминалистической экспертизы и аналитики с открытым исходным кодом (OSINT), предназначенное для предоставления четкой картины угроз для среды пользователя. Он демонстрирует сложность и серьезность отдельных точек отказа, а также доверительных отношений, существующих в пределах инфраструктуры. Он извлекает информацию, размещенную в Интернете, будь то текущая конфигурация маршрутизатора на границе сети компании или текущее местонахождение вице-президента вашей компании. У коммерческой лицензии есть ценник, но версия для сообщества бесплатна с некоторыми ограничениями.
Вы можете расширить возможности Maltego, интегрировав его с VirusTotal, Wayback Machine Internet Archive., и более пяти десятков Мальтего «перевоплощаются».
OWASP Zed Attack Proxy (ZAP)
Zed Attack Proxy (ZAP) - это удобный инструмент для тестирования на проникновение, который обнаруживает уязвимости в веб-приложениях. Он предоставляет автоматические сканеры и набор инструментов для тех, кто хочет найти уязвимости вручную. Он предназначен для использования практиками с широким спектром опыта в области безопасности и идеально подходит для функциональных тестировщиков, которые плохо знакомы с тестированием на проникновение, или для разработчиков: есть даже официальный плагин ZAP для приложения непрерывной интеграции и доставки Jenkins.
Shodan
Shodan - это популярная поисковая система Интернета вещей (IoT) для устройств для охоты, таких как подключенные к Интернету веб-камеры, серверы и другие интеллектуальные устройства. Выполнение запросов Shodan может помочь вам идентифицировать общедоступные серверы и устройства , включая устройства считывания номерных знаков, светофоры, медицинские устройства, водоочистные сооружения, ветряные турбины и многое другое «умное».
Это может быть особенно полезно для поиска устройств, уязвимых для известных эксплойтов и уязвимостей. Тестер на проникновение может, например, использовать поисковую систему IoT, такую как Shodan, в рамках своей разведывательной деятельности, чтобы идентифицировать любые непреднамеренно открытые приложения или серверы, принадлежащие клиенту тестирования на проникновение.
Shodan можно использовать бесплатно, когда дело доходит до основных функций, хотя такие варианты, как платные планы и пожизненная лицензия, предлагают возможность использовать расширенные фильтры поиска. Академическое повышение также доступно бесплатно студентам, профессорам и ИТ-персоналу в университетах.
Kali Linux
Kali Linux - это основанный на Linux дистрибутив для тестирования на проникновение, ранее известный как BackTrack. Специалисты по безопасности используют его для выполнения оценок в чисто нативной среде, предназначенной для взлома. Пользователи имеют легкий доступ к множеству инструментов, от сканеров портов до взломщиков паролей. Вы можете загрузить ISO-образы Kali для установки в 32-битных или 64-битных системах x86 или на процессорах ARM. Он также доступен как образ виртуальной машины для VMware или Hyper-V.
Инструменты Kali сгруппированы по следующим категориям: сбор информации, анализ уязвимостей, беспроводные атаки, веб-приложения, инструменты эксплуатации, стресс-тестирование, криминалистика, сниффинг и спуфинг, атаки на пароли, поддержание доступа, обратный инжиниринг, отчетность и взлом оборудования.
DNS-дампстер
DNS Dumpster предоставит вам все необходимое для исследования вашего домена и разведки DNS. DNS Dumpster - это бесплатный веб-сервис для исследования домена, который позволяет вам найти все о домене, от хостов до труднодоступных субдоменов, которые вы хотели бы использовать в рамках оценки безопасности.
DNS Dumpster предоставляет данные анализа доменных имен как в виде файла Excel, так и в виде визуальной графики (карты), которая может помочь вам лучше понять связи между доменом и его поддоменами. Кроме того, обнаружение зависших, заброшенных или неправильно припаркованных поддоменов может помочь исследователю выявить уязвимости, связанные с захватом поддоменов.
Фотон
Photon - это сверхбыстрый поисковый робот, предназначенный для сбора OSINT. Его можно использовать для получения адресов электронной почты, учетных записей в социальных сетях, корзин Amazon и другой важной информации, относящейся к домену, и он использует общедоступные источники, такие как Google и Wayback Machine в Internet Archive. Написанный на Python, Photon имеет возможность добавлять плагины, например, для экспорта собранных данных в аккуратно отформатированный JSON или для интеграции DNSDumpster с Photon.
Гибридный анализ
Гибридный анализ - это веб-служба анализа вредоносных программ на базе Falcon Sandbox от CrowdStrike. Большинство знакомо с VirusTotal, механизмом анализа вредоносных программ, с помощью которого члены сообщества могут отправлять образцы подозрительных вредоносных программ и URL-адреса для анализа с помощью более чем пяти десятков антивирусных ядер. Собранные образцы и артефакты затем анализируются и сохраняются на серверах VirusTotal для использования в будущем, при этом создается общедоступный отчет об анализе, который может просмотреть любой желающий.
Гибридный анализ не сильно отличается, за исключением того, что он не только анализирует отправленные URL-адреса и образцы через свою собственную песочницу, но также подтверждает результаты с помощью VirusTotal и MetaDefender.. Более того, хотя VirusTotal не позволяет пользователям загружать образцы вредоносных программ бесплатно, гибридный анализ позволяет это зарегистрированным членам сообщества, которые прошли простой процесс проверки (т. е. предварительно планируют внести образцы в гибридный анализ и использовать любые загруженные образцы для исследования. целей). Если у вас есть образец хэша вредоносного ПО из отчета VirusTotal, часто стоит запустить его с помощью гибридного анализа, чтобы проверить, можете ли вы загрузить образец бесплатно.
Нессус
Nessus - один из самых популярных в мире инструментов для оценки уязвимости и конфигурации. Он начинал свою жизнь как проект с открытым исходным кодом, но разработчик Tenable перешел на проприетарную лицензию еще в версии 3. По состоянию на октябрь 2020 года это версия 8.12.1. Несмотря на это, Nessus по-прежнему бесплатен для личного использования в домашних сетях, где он сканирует до 16 IP-адресов. Коммерческая версия позволит сканировать неограниченное количество IP-адресов. Согласно веб-сайту Tenable, Nessus обеспечивает высокоскоростное обнаружение, аудит конфигурации, профилирование активов, обнаружение конфиденциальных данных, интеграцию управления исправлениями и анализ уязвимостей.
ЭНИ.РАН
ANY.RUN значительно превосходит возможности любой песочницы для анализа вредоносных программ, которую я видел, и обладает такими преимуществами, как доступ к онлайн-виртуальной машине (ВМ). Во-первых, служба полностью работает в вашем веб-браузере и позволяет загружать образец вредоносного ПО, настраивать виртуальную среду, которую вы хотите использовать для анализа, и показывает вам сеанс виртуальной машины в реальном времени, который записывается для последующих воспроизведений.
Поиск хэша образца вредоносного ПО в Google часто вызывает ранее выполненный анализ ANY.RUN, выполненный членами сообщества. Например, вот отчет ANY.RUN о майнере криптовалюты, который я проанализировал с помощью ANY.RUN во время исследования недавней атаки на инфраструктуру GitHub через GitHub Actions.
ANY.RUN не только позволяет воспроизвести записанный сеанс анализа, но и имеет простые кнопки пользовательского интерфейса, вызываемые одним щелчком, для отображения индикаторов компрометации (IoC), сетевых запросов, графиков процессов и результатов VirusTotal для образца. Веб-сервис также позволяет бесплатно загрузить проанализированный образец.
Услуга бесплатна для всех, хотя некоторые функции (увеличение времени анализа до более чем 60 секунд, использование 64-разрядной ОС и т. Д.) Требуют, чтобы пользователь подписался на платный тарифный план. Я часто запускаю образцы вредоносных программ как с помощью ANY.RUN, так и с помощью гибридного анализа, в дополнение к использованию VirusTotal для максимального увеличения результатов исследования.
Браузер Tor
Ни одна статья об инструментах безопасности не может быть полной без упоминания Tor Browser. Проект Tor разработан для анонимного общения и веб-серфинга, который работает путем шифрования вашего интернет-трафика и передачи его на несколько хостов («узлов») по всему миру. Это делает практически невозможным узнать местонахождение или личность пользователя Tor.
Tor работает на бесплатной добровольной оверлейной сети из более чем 7000 тысяч узлов ретрансляции по всему миру, предназначенной для борьбы с сетевым наблюдением или анализом трафика. Помимо использования Tor Browser для веб-серфинга, ориентированного на конфиденциальность, основной вариант использования инструмента остается шлюзом в темную сеть и многие сайты «.onion», к которым можно получить доступ только через Tor. Поэтому неудивительно, что вы обнаружите, что Tor скрывается в наборах инструментов аналитиков угроз и исследователей даркнета.
DarkSearch.io
Говоря о дарквебе, разве не поможет, если мы также упомянули для него поисковую систему? Хотя частые посетители даркнета могут уже знать, где что искать, для новичков darksearch.io может стать хорошей платформой для начала своей исследовательской деятельности.
Как и другая поисковая система в темной сети, Ahmia, DarkSearch бесплатна, но дополнительно поставляется с бесплатным API для автоматического поиска. Хотя у Ahmia и DarkSearch есть сайты .onion, вам не обязательно переходить на версии .onion или использовать Tor для доступа к любой из этих поисковых систем. Простой доступ к darksearch.io из обычного веб-браузера позволит вам искать в темной сети.
Джон Потрошитель
John the Ripper - взломщик паролей, доступный для многих разновидностей UNIX, Windows, DOS, BeOS и OpenVMS, хотя вам, вероятно, придется скомпилировать бесплатную версию самостоятельно. В основном он используется для обнаружения слабых паролей UNIX. Помимо нескольких типов хэшей паролей crypt (3), наиболее часто встречающихся в различных системах UNIX, из коробки поддерживаются хэши Windows LM, а также множество других хэшей и шифров в версии, расширенной сообществом. Расширенная версия сообщества включает поддержку графических процессоров для ускорения поиска.
Проверка зависимости OWASP
OWASP Dependency-Check - это бесплатный инструмент анализа состава программного обеспечения (SCA) с открытым исходным кодом, который может анализировать зависимости программного проекта на предмет известных общедоступных уязвимостей. Помимо консультаций с NVD и другими общедоступными источниками информации об уязвимостях, Dependency-Check также обращается к Sonatype OSS Index для получения информации об уязвимостях, относящейся к точному названию или координате программного компонента, а не к более обширным CPE, предоставляемым NVD.
Microsoft Visual Studio
Некоторых может удивить упоминание об инструменте интегрированной среды разработки (IDE), таком как Visual Studio, здесь, но будьте уверены, что на то есть веская причина. Microsoft Visual Studio пригодится при анализе троянских библиотек DLL, таких как та, которая используется в атаке цепочки поставок SolarWinds, или при обратном проектировании двоичных файлов C # /. NET.
Например, при открытии .NET DLL с помощью Visual Studio инструмент будет приблизительно реконструировать исходный исходный код из промежуточного языка Microsoft (MSIL), содержащегося в DLL, что упрощает обратное проектирование и понимание цели кода. Visual Studio работает в операционных системах Windows и Mac, и существует бесплатная версия сообщества, доступная для загрузки.
Для тех, кто заинтересован только в декомпиляторе DLL, а не в полноценной среде IDE, можно использовать dotPeek от JetBrains, хотя в настоящее время он доступен только для пользователей Windows.
Декомпилятор Java
Подобно тому, как вам может понадобиться время от времени декомпилировать и анализировать библиотеки DLL Windows, то же самое может быть в случае программ Java, выпущенных в виде файлов JAR. Исполняемые пакеты, написанные на Java, часто поставляются в виде JAR-файлов, которые, по сути, являются ZIP-архивами, содержащими несколько файлов «классов» Java.
Эти файлы классов написаны в байт-коде Java (промежуточный набор инструкций для виртуальной машины Java), а не в собственном коде, специфичном для среды вашей операционной системы. Вот почему Java традиционно рекламируется как язык « пиши один раз, запускай везде (WORA)».
Для обратного проектирования JAR и приблизительного преобразования байт-кода в исходную форму исходного кода пригодится такой инструмент, как Java Decompiler (JD), который достаточно хорошо выполняет свою работу. JD доступен бесплатно как отдельная графическая утилита под названием JD-GUI или как плагин Eclipse IDE, JD-Eclipse.
ModSecurity
ModSecurity - это набор инструментов для мониторинга, ведения журналов и контроля доступа веб-приложений, разработанный командой Trustwave SpiderLabs. Он может выполнять полное ведение журнала транзакций HTTP, собирать полные запросы и ответы, проводить непрерывную оценку безопасности и укреплять веб-приложения. Вы можете встроить его в свою установку Apache 2.x или развернуть как обратный прокси-сервер для защиты любого веб-сервера.
Люкс Burp
Burp Suite - это платформа для тестирования безопасности веб-приложений. Его различные инструменты поддерживают весь процесс тестирования, от первоначального сопоставления и анализа поверхности атаки приложения до поиска и использования уязвимостей безопасности. Инструменты в пакете включают прокси-сервер, веб-паук, злоумышленник и так называемый повторитель, с помощью которого запросы могут быть автоматизированы. Portswigger предлагает бесплатную версию, в которой отсутствует сканер веб-уязвимостей и некоторые расширенные ручные инструменты.
Metasploit
HD Мур создал проект Metasploit в 2003 году, чтобы предоставить сообществу специалистов по безопасности общедоступный ресурс для разработки эксплойтов. Результатом этого проекта стала Metasploit Framework, платформа с открытым исходным кодом для написания инструментов безопасности и эксплойтов. В 2009 году Rapid7, компания, занимающаяся разработкой решений для управления уязвимостями, приобрела Metasploit Project. До приобретения вся разработка фреймворка происходила в свободное время разработчика, занимая большую часть выходных и ночей. Rapid7 согласился профинансировать штатную команду разработчиков и сохранить исходный код в рамках лицензии BSD с тремя пунктами, которая используется до сих пор.
Aircrack-ng
То, что Wireshark делает для Ethernet, Aircrack-ng делает для Wi-Fi. Фактически, это полный набор инструментов для мониторинга пакетов, тестирования оборудования, взлома паролей и запуска атак на сети Wi-Fi. Версия 1.2, выпущенная в апреле 2018 года, значительно улучшает скорость и безопасность, а также расширяет диапазон оборудования, с которым может работать Aircrack-ng.
Интеллект X
Intelligence X - это первая в своем роде служба архивирования и поиска, которая сохраняет не только исторические версии веб-страниц, но и все утекшие наборы данных, которые в противном случае удаляются из Интернета из-за нежелательного характера контента или по юридическим причинам. Хотя это может показаться похожим на то, что делает Wayback Machine Internet Archive, у Intelligence X есть некоторые резкие различия, когда дело доходит до типа контента, на сохранении которого ориентирована служба. Когда дело доходит до сохранения наборов данных, какими бы спорными они ни были, Intelligence X не делает различий.
Intelligence X ранее сохранял список из более чем 49 000 VPN-сервисов Fortinet, которые были признаны уязвимыми для ошибки обхода пути. Позже в течение недели пароли в открытом виде к этим VPN также были опубликованы на хакерских форумах, которые, опять же, хотя и были удалены с этих форумов, но были сохранены Intelligence X.
Ранее сервис индексировал данные, собранные с почтовых серверов известных политических деятелей, таких как Хиллари Клинтон и Дональд Трамп. Еще один недавний пример СМИ, проиндексированных в Intelligence X, - это кадры беспорядков на Капитолийском холме 2021 года и утечка данных в Facebook о 533 миллионах профилей. Для сборщиков информации, политических аналитиков, репортеров и исследователей безопасности такая информация может быть невероятно ценной по-разному.
GrayhatWarfare
Существует поисковая система для всего, в том числе для открытых сегментов и файловых блобов, как преднамеренных, так и случайных. GrayhatWarfare индексирует общедоступные ресурсы, такие как корзины Amazon AWS и общие хранилища BLOB-объектов Azure.
На сегодняшний день движок проиндексировал более 4,2 миллиарда файлов. Фактически, недавнее обнаружение утечки данных, в результате которой были обнаружены паспорта и удостоверения личности волейбольных журналистов со всего мира, стало возможным благодаря тому, что GrayhatWarfare проиндексировала обнаруженный объект Azure, в котором произошла утечка этой информации.
Для исследователей безопасности и пентестеров GrayhatWarfare может стать отличным ресурсом для обнаружения случайно подвергшихся воздействию сегментов хранилища и предложения соответствующих мер по исправлению положения.
