Csi linux как установить
Обновлено: 04.07.2024
Привет, друг. Ты наверняка знаешь, что в начале 2020 года появился дистрибутив Linux под названием CSI Linux Investigator. Который позиционируется как площадка для проведения расследований. Я изначально хотел сделать просто обзор этой системы, но потом пришло понимание, что этот обзор получится максимально поверхностным. Ведь если рассказывать просто про дистрибутив, то вряд ли получится рассказать что-то новое, а, учитывая специфику встроенных утилит, посмотреть их поверхностно тоже не вариант, просто потому, что ничего не будет понятно.
Что касается самого дистрибутива. То историю со шлюзом мы уже видели в Whonix (обзор ЗДЕСЬ). В CSI принцип очень похож, весь трафик также перенаправляется через сеть Tor. Правда стоит отметить, что в CSI Linux добавили ещё одну виртуальную машину SIEM. Она тоже используется для защиты других виртуальных машин т.е. работает как IDS (система обнаружения вторжений), а ещё может работать с логами. Но все это нюансы и уделять им отдельное внимание я не вижу смысла. Гораздо интереснее посмотреть наполнение этого дистрибутива и познакомиться с утилитами в нем, а там есть на что посмотреть. Особенно с точки зрения OSINT, да и для пентеста, с позиции предварительной разведки, будет не лишним. А потому в этой статье мы разберем утилиты находящиеся в разделе OSINT дистрибутива CSI Linux Investigator, посмотрим для чего они нужны и научимся их использовать.
Итак, раздел OSINT/Online Investigations. Здесь собрано довольно большое количество всяких утилит которые будут очень полезны, как при проведении предварительной разведки так и при проведении полноценного расследования. Конечно, некоторые из них носят довольно таки ситуативный характер, но знать о их существовании точно нужно, потому что в какой-то момент они могут сэкономить нам кучу времени и сил.
Ну, а начнем мы с подраздела Domain Tools.
Содержание:
CSI Domain Search Tools
Начать рассмотрение этого раздела нужно именно с пункта CSI Domain Search Tools. Это одна из отличительных возможностей этого дистрибутива. Нажав на этот пункт меню нам предложат создать то, что здесь называется кейс. Это что-то типа, рабочего проекта. Изначально нам будет предложено ввести название будущего кейса, а потом выбрать инструмент который мы хотим использовать. После этого вводим цель и CSI Linux автоматически запустит выбранную нами утилиту. При это в домашней паке пользователя, в каталоге Cases, будет создана папка нашего кейса, куда будут сохранены все отчеты.
DNSRecon
DNSRecon -это утилита для проверки dns-записей и перебора поддоменов исследуемой цели. При запуске мы видим справку:
В первую очередь эта утилита будет полезна именно для перечисления dns-записей целевого ресурса. И с этой задачей dnsrecon справляется на отлично. Самым простым, ну и, наверное, самым распространенным вариантом её использования будет запуск для просмотра всех записей. Для этого после параметра -d просто указываем нужный сайт, если надо (как правило не надо) можно задействовать возможности поисковых систем:
Бонусная возможность этой утилиты это брутить поддомены. Но это дело вкуса, и как по мне, для этих целей существуют более интересные инструменты (тот же Knock, например).
GetLinks
GoBuster
Справка по использованию GoBuster вызывается командой:
Использовать GoBuster довольно просто. По умолчанию задействован режим dir, потому если мы ищем фалы или каталоги то выбирать режим не нужно. Используя параметр -u указываем целевой сайт, а после параметра -w указываем путь к словарю. После чего запускаем и ждем пока GoBuster переберет варианты. Также можно немного модифицировать команду, например используя параметр -a установить User-Agent. Либо, если мы ищем файлы с каким-то конкретным расширением, то добавляем параметр -x после которого указываем расширение, например -x pdf.
Второй доступный режим, это режим поиска поддоменов. Чтобы его активировать нужно после параметра -m указать режим dns, потом точно также указать цель и словарь. При этом если мы хотим видеть ip адреса найденных поддоменов, то добавляем параметр -i.
Sublist3r
Как видим из справки, использовать Sublist3r очень легко. После параметра -d указываем нужный сайт и немного ждем. Если хотим задействовать брутфорс добавляем параметр -b, словарь, при этом, указывать не нужно. Интересная особенность в том, что мы можем сразу просканировать нужные нам порты и показать только те поддоменты где открыт нужный порт. Для этого добавляем параметр -p и указываем, через запятую, какие порты нам нужны.
theHarvester
Чтобы запустить theHarvester в работу, после параметра -d вводим целевой сайт. Указываем какие поисковые системы задействовать -b google (можно указать all, что бы задействовать все доступные поисковые системы). Если нужно добавляем -c чтобы побрутить поддомены и, используя опцию -f просим сохранить результаты в файл jus.html.
С подразделом Domain Tools мы, вроде как, разобрались. Как видишь тут собран набор очень неплохих утилит, которые однозначно будут полезны как на ранних этапах разведки так и при сборе информации для расследований. Ну и, я думаю, после прочтения этого материала стало понятно как именно их использовать, а какие именно в каких ситуациях использовать это ты уже решай сам. А мы идем дальше и переходим к основному разделу OSINT в CSI Linux. Ему будет посвящена вторая часть этого обзора.
CSI Linux Investigator представляет собой сборку линукс-дистрибутивов, базирующихся на операционной системе Ubuntu, с предустановлеными пакетами специализированного программного обеспечения. Распространяется сборка в виде OVA-файла, который без проблем импортируется в Oracle VM Virtual Box.
Минимальные требования к аппаратному и программному обеспечению
— 8 Гб RAM-памяти— 70 Гб свободного места на диске
— 4-ядерный процессор
— Установленный Oracle VM Virtual Box
Данный linux-дистрибутив содержит программное обеспечение, необходимое для решения следующих задач:
- OSINT
- Digital Forensics
- Incident Response
- Malware Analysis
Загрузить дистрибутив можно по ссылке с официального сайта. Там же размещены обзорные гайды и мануалы по работе с дистрибутивом.
Структура и состав
CSI Linux Investigator содержит в себе три виртуальные машины:
CSI Linux Analyst — это «ядро» данного дистрибутива. Представляет собой виртуальную машину ubuntu-дистрибутива с большим количеством предустановленного программного обеспечения, сгруппированного по категориям:
- OSINT/Online Investigations
- Secure Comms
- Encryption
- Dark Web
- Incident Response
- Computer Forensics
- Mobile Forensics
- CSI Tools
Подробный перечень установленного софта приведен на странице оф. сайта Tools List.
CSI Linux Gateway представляет собой пользовательский шлюз TOR, работающий в «песочнице», с использованием таких утилит как Apparmor, Jailbreak и Shorewall Firewall.
Как вы уже догадались данная виртуальная машина призвана повысить уровень анонимности и приватности при использовании дистрибутива CSI Linux Analyst.
При использовании связки CSI Linux Analyst + CSI Linux Gateway весь траффик будет пропускаться через ноду TOR.
Может использоваться как IDS для защиты других виртуальных машин (CSI Linux Analyst и CSI Linux Gateway), так и для работы с логами и выводом даннных на дашборды в CSI Linux Analyst.
Мнение и полезные ссылки
Обзорную статью на CSI Linux Investigator хотел бы завершить личным мнением и дать пару советов по работе с данным дистрибутивом. Сборка CSI Linux Investigator не первая в своем роде, у нее есть свои плюсы и минусы. В данном дистрибутиве мне понравилось разделение виртуальных машин на три составляющие — непосредственно дистрибутив, шлюз TOR и SIEM-сборку.
С точки зрения наполнения сборки софтом — мнение двойственное, с одной стороны есть все необходимое, с другой стороны — много лишнего программного обеспечения, которое пагубно влияет на размер дистрибутива. Если проводить аналогии с другими дистрибутивами под данные цели, то получается следующее:
CSI Linux Analyst получился комбинированной версией дистрибутивов SIFT, Buscador и Caine.
CSI Linux SIEM по целям и задачам схож с Security Onion, а CSI Linux Gateway с Whonix Gateway.
Мне часто задают вопрос: “Какой операционной системой ты пользуешься для OSINT?”. В этой короткой статье сделаю обзор на основные ОС для таких целей, а так же выскажу своем мнение, почему использование полноценных ОС для проведения расследований не всегда рационально.
В виде небольшого введения скажу, что комплексная ОС под различные задачи “из коробки”, на первый взгляд, довольно удобная вещь. Но это до тех пор, пока дело не дойдет до практики.
Самая распиаренная ОС для проведения расследований. CSI представляет из себя набор из целых трех ОС:
- CSI Linux Analyst — основная рабочая станция. В ней есть как инструменты для расследований, так и для цифровой криминалистики.
- CSI Linux Gateway — дополнительная станция, которая перенаправляет весь трафик CSI Linux Analyst через Tor.
- СSI Linux SIEM — станция, предназначенная для обнаружения компрометации системы.
Сразу с тоит отметить, что набор из трех ОС требует очень большого свободного пространства на жестком диске (около 60 гб). При этом, та же CSI Linux Gateway может быть заменена простыми инструментами анонимизации, которые можно установить на CSI Linux Analyst. Это сэкономит вам много свободного места на диске. В крайнем случае, можно использовать ту же Whonix Gateway, которая весит меньше.
Смысла в CSI Linux SIEM для обывателя я вообще не вижу. Если вы выполняете функции безопасника в компании, то это еще куда ни шло.
🎬 Видео с обзором CSI Linux:
✅ Резюме: места занимает много, некоторые малоизвестные утилиты ставятся довольно сложно, практически весь перечень установленных инструментов есть в большинстве дистрибутив для ИБ.
Buscador — еще один дистрибутив, который создавался специально под OSINT. Сделан он был David Wescott и Mike Bazzel. Второй — это довольно известный иностранный специалист по расследованиям, который выпускает тонны контента на тему OSINT. Так же он является автором одной из лучших книг по этой теме “Open source intelligence techniques”, которая постоянно переиздается, пополняясь более современными инструментами.
Если посмотреть на Buscador, то сразу станет понятно, что дистрибутив намного проще того же CSI Linux, но у него есть свои плюсы. Главный из них — это то, что утилиты, которые я пытался установить, в основном, ставились (хоть и с горем пополам). То-есть он, на мой взгляд, более стабильный. Да и весит он на порядок меньше, чем CSI Linux. В остальном — ничего нового. Все тот же базовый набор инструментов для OSINT.
🎬 Видео с обзором Buscador:
✅ Резюме: более “ламповый” дистрибутив, весит меньше, чем CSI Linux, более стабилен в работе, набор инструментов — стандартный для OSINT.
Возможно я выскажу не очень популярное мнение, но, как по мне, самыми стабильными дистрибутивами являются Kali Linux и Parrot Security OS. Первую, обычно, очень не любят (хотя, почему-то, все на ней учатся и часто используют), а вторую превозносят как идеал для ИБ-специалистов разных профилей.
Лично я придерживаюсь следующего мнения:
Вы должны сами установить необходимый под ваши задачи софт лично для себя, а не использовать кучу всего “из коробки”
Для того, чтобы это было возможно, необходимо использовать такие дистрибутивы, у которых не возникает проблем с установкой внешних утилит (каких бы то ни было). На это можно сказать, что Kali и Parrot используются для ИБ, а не для OSINT. Ну хорошо, создайте отдельную папку под OSINT и пользуйтесь на здоровье. Зато, у вас не будет головной боли с установкой различных зависимостей и адаптивом утилит. Тем более, что в Kali и Parrot уже есть базовый набор предустановленных тулзов для OSINT.
Резюмирая, добавлю, что, как по мне, вести все расследования в одной ОС — не очень удобная затея. Большинство инструментов вообще не предполагает использование каких-либо linux дистрибутивов, а есть просто в виде онлайн-сервисов и, даже, иногда в виде telegram ботов. Все всегда зависит от конкретного кейса и инструментов, которые вам понадобятся для его решения.
Инсталлятор для Windows уже содержит в себе все необходимые компоненты. Поддерживаются 64-х разрядные версии системы.
Поддерживается режим тихой установки, для этого запустите инсталятор из командной строки с необходимыми параметрами:
Укажите путь для установки приложения или оставьте предложенный по умолчанию:
Введите базовые настройки для приложения. Позже их можно изменить в файле application.properties (по умолчанию C:\Program Files\setmark\config\application.properties) и в базе данных в таблице configuration.
Номер магазина является обязательным. Адрес сервера лицензирования для получения лицензии на продукт и доставки обновлений можно ввести позже в таблице configuration.
Далее настраиваются параметры подключения к базе данных.
Далее необходимо выбрать необходимые компоненты. Если в системе уже установлен PostgreSQL или пользователь и база данных уже созданы - снимите галочки с соответствующих пунктов.
Проверьте правильность введенных данных и приступите к установке.
Всё готово. Сервис SetMark установлен в системе и будет запускаться при старте ПК. Логи в каталоге с программой.
Проверить работу или остановить/запустить сервис можно в диспетчере задач(ctrl+shift+esc → службы) или любым другим стандартным для Windows способом(ищем в google).
Удалить сервис можно из папки установки файлом unins000.exe При это будут удалены только файлы программы, база данных останется нетронутой, что позволит установить сервис заново без создания новой базы. При необходимости всё можно удалить вручную стандартными средствами PostgreSQL.
Установка (Linux).
Установка на Linux доступна для дистрибутивов поддерживающих системный менеджер systemd(большинство популярных дистрибутивов, включая Debian GNU/Linux версии 8+, CentOS версии 7+, Ubuntu версии 15.10+ и другие). Подробнее смотрите в документации к вашей версии Linux.
Для корректной установки и работы должна быть установлена PostgreSQL версии не ниже 9.4, а так же создана база данных(можно создать пустую, без таблиц) и пользователь(не рекомендуется использовать администратора). Если PostgreSQL не будет найдет, то установка SetMark станет невозможна!
В случае возникновения проблем с Java, можно поменять версию Java для вашего дистрибутива в каталоге с установленной программой(по умолчанию opt/SetMark/jre).
Частично базовая конфигурация доступна во время установки с помощью ключей для файла инсталяции. Ключи могут использоваться как вместе, так и по отдельности. В дальнейшем эти параметры можно поменять в файле application.properties (по умолчанию opt/SetMark/config/application.properties) и в базе данных в таблице configuration. Что бы посмотреть список допустимых параметров используйте --help:
Если при установке не были введены параметры Номер магазина(shopnum) и Адрес сервера лицензирования(licenseurl), их необходимо указать в базе данных в таблице configuration (для версии продукта 1.3.0 и выше!).
Управление запуском и остановкой сервиса осуществляется стандартными командами.
Читайте также: