ma2tl
[https://github.com/mnrkbys/ma2tl]

инструмент для создания таймлайна активности операционных систем macOS из результатов mac_apt. Извлекает историю действий по загрузке файлов, выполнению программ, монтированию томов.

XELFViewer
[https://github.com/horsicq/XELFViewer]

кроссплатформенное приложение, предназначенное для анализа ELF-файлов. ELF, Executable and Linkable Format (формат исполняемых и связываемых файлов) - формат файла, который определяет структуру бинарных файлов, библиотек, и файлов ядра. Спецификация формата позволяет операционной системе корректно интерпретировать содержащиеся в файле машинные команды. Если в мире Windows исполняемые файлы представлены в формате Portable Executable (PE), то в Linux эта роль отведена файлам ELF. ELF-файлы интересуют исследователя с точки зрения анализа зловредов, ведь злоумышленники зачастую используют как раз этот формат.

#OSINT #Maltego Наиболее полная подборка бесплатных трансформов для программного комплекса Maltego:

├Hacker Target IP
├Nmap (parsing xml results)
├ThreatCrowd search API
├OpenCTI
├OpenDNS Investigate API
├Nextego v1.0
├Recon NG
├Internet archive (webarchive.org)
├Abusix.com
├BreachAlarm
├Clearbit
├Facebook
├FullContact
├Github
├Gravatar
├I Have Been Pwned
├Host.io
├Greynoise
├Hunchly
├MaltegoAliasToEmail
├Domaintools
├Fofa.so
├cqfd-maltego
├Holehe
├Hunter.io
├Keskivonfer
├nqntnqnqmb-maltego
├Phoneinfoga
├Quidam
├Toutatis
├VirusTotal (Public API v2.0)
├Custom transforms
├MISP-maltego
├Censys (SSL and IP info)
├Skype
├Interpol
├NessusScan
├Maigret
├Binaryedge
├True People Search
├Blockchain DNS
├Twint
├Steam
├IntelX
└OpenDNS

@tomhunter

odl.py
[https://github.com/ydkhatri/OneDrive]

маленькая утилита, но при этом очень полезная в условиях, когда исследуемый объект активно использует OneDrive. Скрипт парсит файлы журналов OneDrive, которые имеют расширение *.odl (C:\Users \<USER>\AppData\Local\Microsoft\OneDrive\logs\ ). Наличие этого журнала может быть полезно в определенных сценариях, когда у вас нет других журналов и вам нужно доказать загрузку или синхронизацию файлов/папок или даже обнаружение элементов, которые больше не существуют на диске/облаке.

OneDriveExplorer
[https://github.com/Beercow/OneDriveExplorer]

это приложение для восстановления структуры папок OneDrive из файлов <UserCid>.dat и <UserCid>.dat.previous. Может создавать JSON, CSV или HTML-отчеты проанализированных данных. Имеет также GUI интерфейс.
Расположение файла:
C\Users\<USERNAME>\AppData\Local\Microsoft\OneDrive\settings\<Personal>or<Business1>\

слайды с прекрасного выступления Уважаемого @gspdnsobaka на прошедшем PHD11 про деанон злодея укравшего NFT

Любая система Windows, будь то домашней или корпоративной версии, не может обойтись без систем аудита безопасности.

Стандартные логи событий имеют расширение *.evtx и хранятся в каталоге
"C:\Windows\System32\winevt\Logs\".
В журнале событий регистрируются все ошибки, информационные сообщения и предупреждения программ.

Скорее всего, рядовой пользователь не часто сталкивается с необходимостью анализа событий или поиска ошибок. Хоть большинство и знает об их наличии - это совсем не значит, что организации активно используют их потенциал в работе. А ведь в корпоративной среде правильно настроенный аудит безопасности вашего Windows Server является фундаментом защиты активов компании и потенциальным источником доказательств при расследовании инцидента.

По умолчанию, мы можем посмотреть и фильтровать логи с помощью стандартного Просмотрщика событий, ну а в последующих нескольких постах мы поделимся различными практиками и утилитами, которые помогут безопасникам следовать триаде CIA (Конфиденциальность (Confidentiality), Целостность (Integrity), Доступность (Availability)).

Microsoft-eventlog-mindmap
[https://github.com/mdecrevoisier/Microsoft-eventlog-mindmap]
огромная карта журнала событий, которая помогает представить все события глобально и структурно, выделяя наиболее важные для сбора логов, поиска угроз или расследований.

Audit Policy Recommendations
[https://github.com/MicrosoftDocs/windowsserverdocs/blob/main/WindowsServerDocs/identity/ad-ds/plan/security-best-practices/Audit-Policy-Recommendations.md]
актуальные (вплоть до Windows Server 2022) рекомендации по настройке параметров политики аудита Windows по умолчанию, базовых рекомендуемых параметров политики аудита и более агрессивных рекомендаций Корпорации Майкрософт для рабочих станций и серверных продуктов.

[https://github-com.translate.goog/MicrosoftDocs/windowsserverdocs/blob/main/WindowsServerDocs/identity/ad-ds/plan/security-best-practices/Appendices.md]
Справочная информация и рекомендации по настройке различных учетных записей и их безопасности в Active Directory, а также список событий с указанием ID, потенциальной критичности и краткого описания.

Windows EVTX Samples
[https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES]
внушительный набор примеров событий, которые связаны с конкретными методами атак и пост-эксплуатации. Отличный вариант для тестирования скриптов, обучения сотрудников или настройки вашей корпоративной среды. Также автор сопоставил контекст атак с матрицей MITRE и сделал небольшую сводку статистики на основе анализа.

EVTX to MITRE Att@ck
[https://github.com/mdecrevoisier/EVTX-to-MITRE-Attack]
проект, ориентированный на различные системы управления безопасностью. Представляет из себя набор индикаторов компрометации формата evtx, смапленных по техникам и тактикам MITRE. По сути, каждому ID события сопоставляет код тактики, которой это событие может соответствовать.

FullEventLogView от NirSoft
[https://www.nirsoft.net/utils/full_event_log_view.html]
известная утилита, которая позволяет отображать сведения обо всех событиях из журналов в одной таблице как на целевой машине, так и с помощью экспорта. Помимо всего прочего умеет экспортировать данные в различные форматы.

EvtxECmd
[https://github.com/EricZimmerman/evtx]
простой и функциональный парсер логов в командной строке от известного Eric Zimmerman. Отлично используется в связке с KAPE.

EventFinder2
[https://github.com/BeanBagKing/EventFinder2]
утилита, написанная на C#, которая позволит исследователю быстро получить дружественный к Excel экспорт всех журналов EVTX в течение указанного промежутка времени, отсортированных по времени. Проще и быть не может!)

WELA (Windows Event Log Analyzer)
[https://github.com/Yamato-Security/WELA]

PowerShell инструмент, основной функционал которого состоит в создании таймлайна входов в систему и сбора статистики по основным событиям журнала входа (4624, 4634, 4647, 4672, 4776). Позволяет экономить время и станет отличным дополнением в арсенале специалиста по реагированию.

● Написан на PowerShell, поэтому его легко читать и настраивать.
● Быстрый генератор временной шкалы входа в систему, Обнаружение бокового перемещения, использования системы, подозрительных входов в систему, уязвимого использования протокола и т.д...
● 90%+ шумоподавление для событий входа в систему
● Вычисление затраченного времени входа в систему
● Анализ графического интерфейса
● Краткое описание типа входа
● Правила SIGMA
● Пользовательские правила обнаружения атак
● Статистика входа

Chainsaw
[https://github.com/countercept/chainsaw]

мощный анализатор логов Windows, предназначенный для оперативного выявления угроз. Предлагает универсальный и быстрый способ поиска по ключевым словам, встроенной логики обнаружения и поддержки SIGMA-правил.

● Извлечение и анализ предупреждений Защитника Windows, F-Secure, Sophos и Kaspersky AV
● Обнаружение очистки журналов ключевых событий или остановки службы журнала событий.
● Выявление факта создания и добавления пользователей в конфиденциальные группы пользователей
● Брутфорс локальных учетных записей пользователей
● RDP-авторизация
● Экспорт в CSV, JSON

Zircolite
[https://github.com/wagga40/Zircolite]

еще один очень полезный анализатор логов, который также основан на SIGMA. Помимо прочего, умеет читать логи Auditd и Sysmon. Подобные утилиты позволяют анализировать большие данные на конечных хостах за короткий промежуток времени, а экспорт утилиты можно встроить в какой-нибудь пайплайн. Также имеет графический интерфейс и сохраняет данные в JSON.

ntTraceControl
[https://github.com/airbus-cert/ntTraceControl]
набор команд Powershell для генерации журналов Windows. ntTraceControl упрощает тестирование вариантов использования обнаружения угроз без использования сложной инфраструктуры, инструментов или тестирования уязвимостей. Позволяет эмулировать фейковые события создания процессов, сеансов входа в систему, а также записи объектов EventLogRecord.

SharpEventPersist
[https://github.com/improsec/SharpEventPersist]
немного оффтопик утилита относительно тематики последних постов, но тесно связанная с событиями Windows. Инструмент, позволяющий закрепиться в системе путем записи/чтения шелл-кода прямо из журналов событий. Любопытный способ закрепления, должно быть полезно для исследователей.

📓 Maltego Handbook for Social Media Investigations

DeepBlueCLI
[https://github.com/sans-blue-team/DeepBlueCLI]

мы добрались до инструмента от SANS, а если точнее модуля PowerShell для поиска угроз с помощью журналов событий Windows. Функционал модуля крайне обширен: от выявления подозрительной активности учетных записей до определения подозрительных служб или того же mimikatz. В репозитории также есть различные примеры журналов как раз для оттачивания навыков реагирования и расследования. Экспорт, как полагается, возможен во все основные форматы файлов.

Hayabusa
[https://github.com/Yamato-Security/hayabusa]

мощный кроссплатформенный инструмент для построения таймлайна журнала событий Windows и инструмент поиска угроз, созданный японской группой безопасности Yamato Security. Он написан на Rust и поддерживает многопоточность, чтобы быть как можно быстрее. Также авторы разработали собственный формат правил и утилиты преобразования из SIGMA, которые активно используются в инструменте.

● может быть запущен для анализа в реальном времени, либо путем сбора журналов из нескольких систем в автономном режиме
● выходные данные будут объединены в единую временную шкалу формата CSV для удобного анализа в Excel, Timeline Explorer или Elastic Stack
● имеет более 2200 SIGMA-правил и около 125 правил hayabusa, которые регулярно добавляются
● сбор различных статистических данных, сопоставление с MITRE.

Мы завершаем освещать тему анализа Журнала событий Windows и напоследок напоминаем об APT-Hunter (https://t.me/forensictools/704), о котором уже немногим ранее упоминали. Тоже очень простой и эффективный в использовании инструмент, написанный на Python.

Если мы упустили какой-то очень полезный инструмент, то будем рады, если вы поделитесь им со всеми в комментариях или нашем общем чатике!

Мы уже писали (https://t.me/forensictools/408) про отличный гаджет который можно собрать самому для того чтобы проверить, а не подсадил ли кто на смартфон или планшет чего-нибудь "стучащего" на вас. Отличная вещь, простая как в создание так и использование. Сегодня благодаря каналу @freedomf0x открыли для себя не менее интересный проект, но для более продвинутых пользователей:

PTS Project (ака PiRough)

[ github.com/PiRogueToolSuite ]

PiRogue — это устройство на базе Raspberry Pi, работающее в качестве сетевого маршрутизатора , при этом анализирующего сетевой трафик в режиме реального времени.

Может работать в трех различных режимах:

Киоск -  для тех, кто хочет знать, с какими серверами связывается его мобильное устройство. Как говорят сами создатели, может быть полезно для компаний, которые хотят знать, является ли их сотрудники целью сталкерского ПО.

Полевой режим - для экстренного реагирования (активный шпионаж, взлом устройства и т. д.) и оперативного проведения криминалистического анализ и сетевое обнаружение с помощью предустановленного набора инструментов

Экспертный режим - уже для матерых технарей, чтобы легко и в тоже время качественно:

- Определить список собираемых данных

- Оценить соответствие нормативным требованиям

- Проводить тестирование на проникновение

- Анализировать поведение вредоносных программ

- Сгенерировать отчет

В общем еще одна хорошая и нужная вещь из малинки!

|Investigating an engineering workstation|

🤙Шизо на связи.
🕵️‍♂️Цикл статей от NVISO Labs про проведение расследования на рабочей станции(инженера) с установленной win10 и установленной на машине Siemens TIA Portal(программный комплекс для проектирования компонентов автоматизации SIMATIC, объединяя в себе STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES и SIMOTION SCOUT TIA).
Серия статей посвящена тому, какие данные можно вытащить из тех, которые генерирует TIA портал, что может пригодиться при проведении расследовании кибер преступлений и не только.
Процесс вытаскивания данных описывается подробно, начиная от объяснения структуры проекта до использование популярных тулзов: strings, xdd и diff для первичного анализа, также показано автором как вытащить данные об активности загрузки из проекта. Причём первичный анализ можно провести с помощью стандартных методов для семейства windows.

Кстати, что не мало важно, казалось бы в безобидном файле "Settings.xml" содержится много интересной информации для форензик-специалиста. Для автоматизации извлечения информации из этого файла, автор написал скрипт автоматизации на питоне(жмакай).

Как я понял после прочтения и попыток воссоздать шаги, приведенные автором, что от версии к версии нужно применять отличающиеся способы анализа, ведь как заметил автор это всё применительно только к версии 15.1 и в других версиях могут создаваться иные форматы или меняться поведение программного комплекса, приводящее к новым трудностям.

Как пишет автор, скоро выйдет новая статья про анализ сетевого трафика во время исследования активности.

Вот собственно ссылки на статьи:
🔎Часть1
🔎Часть2
🔎Часть3

🤙The Shizo is in touch.
🕵️‍♂️A series of articles from NVISO Labs about conducting an investigation on a workstation (engineer) with win10 installed and a Siemens TIA Portal installed on a machine (a software package for designing automation components SIMATIC, combining STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES and SIMOTION SCOUT TIA).
A series of articles is devoted to what data can be extracted from those generated by the TIA portal, which can be useful when investigating cyber crimes and not only.
The process of pulling out data is described in detail, ranging from explaining the structure of the project to using popular tools: strings, xdd and diff for primary analysis, and the author also shows how to pull data on download activity from the project. Moreover, the primary analysis can be carried out using standard methods for the windows family.

By the way, which is not a little important, it would seem in a harmless file "Settings.xml " there is a lot of interesting information for a forensic specialist. To automate the extraction of information from this file, the author wrote an automation script on python (click).

As I realized after reading and trying to recreate the steps given by the author, it is necessary to apply different methods of analysis from version to version, because as the author noted, this is all applied only to version 15.1 and other versions may create other formats or change the behavior of the software package, leading to new difficulties.

According to the author, a new article about the analysis of network traffic during activity research will be published soon.

Here are the actual links to the articles:
🔎Part1
🔎Part2
🔎Part3

#forensic #investigation

usbsas
[https://github.com/cea-sec/usbsas]

полезный инструмент для безопасного чтения ненадежных USB-накопителей.

● чтение файлов с USB-устройства без использования модулей ядра, таких как uas, usb_storage и файловые системы
● анализ файлов с помощью удаленного антивируса
● копирование файлов на доверенное USB-устройство
● загрузка файлов на удаленный сервер
● создание образа USB-устройства
● очистка USB-устройства