CAINE 6.0 "Dark Matter" - Distribution with a complete forensic environment

CAINE (Computer Aided INvestigative Environment) is an Italian GNU/Linux live distribution created as a project of Digital Forensics. Currently the project manager is Nanni Bassetti. 

CAINE offers a complete forensic environment that is organized to integrate existing software tools as software modules and to provide a friendly graphical interface.

The main design objectives that CAINE aims to guarantee are the following:

• an interoperable environment that supports the digital investigator during the four phases of the digital investigation
• a user friendly graphical interface
• user friendly tools

CAINE represents fully the spirit of the Open Source philosophy, because the project is completely open, everyone could take the legacy of the previous developer or project manager. The distro is open source, the Windows side (Wintaylor) is open source and, the last but not the least, the distro is installable, so giving the opportunity to rebuild it in a new brand version, so giving a long life to this project ....

CHANGELOG CAINE 6.0 "Dark Matter"

Kernel 3.16.0-36
Based on Ubuntu 14.04.1 64BIT - UEFI/SECURE BOOT Ready!
Caine 6.0 on pendrive can boot on Uefi/Uefi+secure boot/Legacy Bios/Bios.
Caine 6.0 on DVD can boot on Legacy Bios/Bios.
SystemBack is the new installer.

ADDED/CHANGED:

• fixed password request in polkit
• fixed password request in textmode e tty
• Bash bug fixed shellshock
• mount policy always in ro and loop mode
• fstrim disabled (enable uncommenting the row in /etc/cron.weekly/fstrim)
• autopsy patched by Maxim Suhanov:
• (HFS directories handling fixed,
• Sun VTOC volume system handling fixed,
• incorrect timestamps (that are equal to zero) are handled as 01/01/1970 00:00:00)
• Gzrt
• Img_map
• QPhotorec (photorec gui)
• Undbx
• Ddrescueview
• Gddrescue
• Disktype
• Peframe
• Quickhash
• BEViewer Bulk Extractor
• Ddrutility
• Ataraw
• Frag_find
• Log2timeline plaso - supertimeline
• Tinfoleak
• Inception memory dumper by firewire
• Volatility
• 4n6-scripts
• boot-repair
• grub-customizer 
• Broadcom Corporation BCM4313 wireless card drivers

Download CAINE 6.0

Read More

Mobius - Forensic Framework written in Python/GTK

Mobius Forensic Toolkit is a forensic framework written in Python/GTK that manages cases and case items, providing an abstract interface for developing extensions. Cases and item categories are defined using XML files for easy integration with other tool.

Release 0.5.20 published

This release introduces the CellPhone Agent extension, an extension to browse Cellebrite's report.xml files. Minor improvements have been made and a few bugs have been fixed. See the ChangeLog:

•     new extension cellphone-agent
•     report-model: new service report.run-dialog
•     report-model: verbatim generates '%' instead of '%%'
•     report-model: do not generate duplicated methods in .py
•     gtk-ui: forbid treeitem DND onto itself
•     gtk-ui: case treeview icon cache implemented
•     gtk-ui: do not expand selected item when item.children is modified
•     skype-agent: "generate report" option
•     skype-agent: account view disables DND when not selected
•     skype-agent: account tile image repositioned
•     ice: use service report.run-dialog
•     sdi-window-manager: call to on_widget_started eliminated
•     partition-viewer: scan only partition-system components
•     partition-agent: update item.children only if it detects partitions
•     partition-agent-dos: keep item.children when building components
•     turing: test dictionary option fixed

Download Mobius

Read More

FS-NyarL - Network Takeover & Forensic Analysis Tool

NyarL it's Nyarlathotep, a mitological chaotic deity of the writer HP. Lovecraft's cosmogony.

It's represent Crawling Chaos and FS-NyarL it's The Crawling Chaos of Cyber Security :-)

A network takeover & forensic analysis tool - useful to advanced PenTest tasks & for fun and profit - but use it at your own risk!

 

• Interactive Console
• Real Time Passwords Found
• Real Time Hosts Enumeration
• Tuned Injections & Client Side Attacks
• ARP Poisoning & SSL Hijacking
• Automated HTTP Report Generator

ATTACKS IMPLEMENTED:

• MITM (Arp Poisoning)
• Sniffing (With & Without Arp Poisoning)
• SSL Hijacking (Full SSL/TLS Control)
• HTTP Session Hijaking (Take & Use Session Cookies)
• Client Browser Takeover (with Filter Injection in data stream)
• Browser AutoPwn (with Filter Injection in data steam)
• Evil Java Applet (with Filter Injection in data stream)
• DNS Spoofing
• Port Scanning

POST ATTACKS DATA OBTAINED:

• Passwords extracted from data stream
• Pcap file with whole data stream for deep analysis
• Session flows extracted from data stream (Xplico & Chaosreader)
• Files extracted from data stream
• Hosts enumeration (IP,MAC,OS)
• URLs extracted from data stream
• Cookies extracted from data stream
• Images extracted from data stream
• List of HTTP files downloaded extracted from URLs

DEPENDENCIES (aka USED TOOLS):

• Chaosreader (already in bin folder)
• Xplico
• Ettercap
• Arpspoof
• Arp-scan
• Mitmproxy
• Nmap
• Tcpdump
• Beef
• SET
• Metasploit
• Dsniff
• Macchanger
• Hamster
• Ferret
• P0f
• Foremost
• SSLStrip
• SSLSplit

Download FS-NyarL

Read More

Listado de Herramientas Forenses

ADQUISICIÓN Y ANÁLISIS DE LA MEMORIA 

Set de utilidades que permite la adquisición de la memoria ram para posteriormente hacer un análisis con ella.

pd Proccess Dumper - Convierte un proceso de la memoria a fichero.

FTK Imager - Permite entre otras cosas adquirir la memoria.

DumpIt - Realiza volcados de memoria a fichero.

Responder CE - Captura la memoria y permite analizarla.

Volatility - Analiza procesos y extrae información util para el analista.

RedLine - Captura la memoria y permite analizarla. Dispone de entrono gráfico.

Memorize - Captura la ram (Windows y OSX).

MONTAJE DE DISCOS

Utilidades para montar imágenes de disco o virtualizar unidades de forma que se tenga acceso al sistema de ficheros para posteriormente analizarla. 

ImDisk - Controlador de disco virtual.

OSFMount - Permite montar imágenes de discos locales en Windows asignando una letra de unidad.

raw2vmdk - Utilidad en java que permite convertir raw/dd a .vmdk

FTK Imager - Comentada anteriormente, permite realizar montaje de discos.

vhdtool - Convertidor de formato raw/dd a .vhd permitiendo el montaje desde el administrador de discos de Windows .

LiveView - Utilidad en java que crea una máquina virtual de VMware partiendo de una imagen de disco.

MountImagePro - Permite montar imágenes de discos locales en Windows asignando una letra de unidad

CARVING Y HERRAMIENTAS DE DISCO 

Recuperación de datos perdidos, borrados, búsqueda de patrones y ficheros con contenido determinado como por ejemplo imágenes, vídeos. Recuperación de particiones y tratamiento de estructuras de discos.

PhotoRec - Muy útil, permite la recuperación de imágenes y vídeo.

Scalpel -Independiente del sistema de archivos. Se puede personalizar los ficheros o directorios a recuperar.

RecoverRS - Recupera urls de acceso a sitios web y ficheros. Realiza carving directamente desde una imágen de disco. 

NTFS Recovery - Permite recuperar datos y discos aún habiendo formateado el disco.

Recuva - Utilidad para la recuperación de ficheros borrados.

Raid Reconstructor - Recuperar datos de un RAID roto, tanto en raid 5 o raid 0. Incluso si no conocemos los parámetros RAID.

CNWrecovery - Recupera sectores corruptos e incorpora utilidades de carving.

Restoration - Utilidad para la recuperación de ficheros borrados.

Rstudio - Recuperación de datos de cualquier sistema de disco NTFS, NTFS5, ReFS, FAT12/16/32, exFAT, HFS/HFS+ (Macintosh), Little y Big Endian en sus distintas variaciones UFS1/UFS2 (FreeBSD/OpenBSD/NetBSD/Solaris) y particiones Ext2/Ext3/Ext4 FS.

Freerecover - Utilidad para la recuperación de ficheros borrados.

DMDE - Admite FAT12/16, FAT32, NTFS, y trabaja bajo Windows 98/ME/2K/XP/Vista/7/8 (GUI y consola), DOS (consola), Linux (Terminal) e incorpora utilidades de carving.

IEF - Internet Evidence Finder Realiza carving sobre una imagen de disco buscando mas de 230 aplicaciones como chat de google, Facebook, IOS, memoria ram, memoria virtual,etc.

Bulk_extractor - Permite extraer datos desde una imagen, carpeta o ficheros.

UTILIDADES PARA EL SISTEMA DE FICHEROS

Conjunto de herramientas para el análisis de datos y ficheros esenciales en la búsqueda de un incidente.

analyzeMFT - David Kovar's utilidad en python que permite extraer la MFT

MFT Extractor- Otra utilidad para la extracción de la MFT 

INDXParse - Herramienta para los indices y fichero $I30.

MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades para el acceso a la MFT 

MFT_Parser - Extrae y analiza la MFT

Prefetch Parser - Extrae y analiza el directorio prefetch

Winprefectchview - Extrae y analiza el directorio prefetch 

Fileassassin - Desbloquea ficheros bloqueados por los programas

ANÁLISIS DE MALWARE 

PDF Tools de Didier Stevens.

PDFStreamDumper - Esta es una herramienta gratuita para el análisis PDFs maliciosos.

SWF Mastah - Programa en Python que extrae stream SWF de ficheros PDF.

Proccess explorer - Muestra información de los procesos.

Captura BAT - Permite la monitorización de la actividad del sistema o de un ejecutable.

Regshot - Crea snapshots del registro pudiendo comparar los cambios entre ellos

Bintext - Extrae el formato ASCII de un ejecutable o fichero.

LordPE - Herramienta para editar ciertas partes de los ejecutables y volcado de memoria de los procesos ejecutados.

Firebug - Analisis de aplicaciones web.

IDA Pro - Depurador de aplicaciones.

OllyDbg - Desemsamblador y depurador de aplicaciones o procesos.

Jsunpack-n - Emula la funcionalidad del navegador al visitar una URL. Su propósito es la detección de exploits

OfficeMalScanner - Es una herramienta forense cuyo objeto es buscar programas o ficheros maliciosos en Office.

Radare - Framework para el uso de ingeniería inversa.

FileInsight - Framework para el uso de ingeniería inversa.

Volatility Framework con los plugins malfind2 y apihooks.

shellcode2exe - Conversor de shellcodes en binarios.

FRAMEWORKS

Conjunto estandarizado de conceptos, prácticas y criterios en base a el análisis forense de un caso.

PTK - Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado. 

Log2timeline - Es un marco para la creación automática de un super línea de tiempo.

Plaso - Evolución de Log2timeline. Framework para la creación automática de un super línea de tiempo.

OSForensics - Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.

DFF - Framework con entorno gráfico para el análisis.

SANS SIFT Workstation - Magnifico Appliance de SANS. Lo utilizo muy a menudo.

Autopsy - Muy completo. Reescrito en java totalmente para Windows. Muy útil.

ANÁLISIS DEL REGISTRO DE WINDOWS

Permite obtener datos del registro como usuarios, permisos, ficheros ejecutados, información del sistema, direcciones IP, información de aplicaciones.

RegRipper - Es una aplicación para la extracción, la correlación, y mostrar la información del registro.

WRR - Permite obtener de forma gráfica datos del sistema, usuarios y aplicaciones partiendo del registro.

Shellbag Forensics Análisis de los shellbag de windows.

Registry Decoder - Extrae y realiza correlación aun estando encendida la máquina datos del registro.

HERRAMIENTAS DE RED

Todo lo relacionado con el tráfico de red, en busca de patrones anómalos, malware, conexiones sospechosas, identificación de ataques, etc.

WireShark - Herramienta para la captura y análisis de paquetes de red.

NetworkMiner - Herramienta forense para el descubrimiento de información de red.

Netwitness Investigator - Herramienta forense. La versión 'free edition' está limitado a 1GB de tráfico.

Network Appliance Forensic Toolkit - Conjunto de utilidades para la adquisición y análisis de la red.

Xplico - Extrae todo el contenido de datos de red (archivo pcap o adquisición en tiempo real). Es capaz de extraer todos los correos electrónicos que llevan los protocolos POP y SMTP, y todo el contenido realizado por el protocolo HTTP.

Snort - Detector de intrusos. Permite la captura de paquetes y su análisis.

Splunk - Es el motor para los datos y logs que generan los dispositivos, puestos y servidores. Indexa y aprovecha los datos de las generados por todos los sistemas e infraestructura de IT: ya sea física, virtual o en la nube.

AlientVault - Al igual que Splunk recolecta los datos y logs aplicándoles una capa de inteligencia para la detección de anomalías, intrusiones o fallos en la política de seguridad.

RECUPERACIÓN DE CONTRASEÑAS

Todo lo relacionado con la recuperación de contraseñas en Windows, por fuerza bruta, en formularios, en navegadores.

Ntpwedit - Es un editor de contraseña para los sistemas basados ​​en Windows NT (como Windows 2000, XP, Vista, 7 y 8), se puede cambiar o eliminar las contraseñas de cuentas de sistema local. No valido para Active Directory.

Ntpasswd - Es un editor de contraseña para los sistemas basados ​​en Windows, permite iniciar la utilidad desde un CD-LIVE

pwdump7 - Vuelca los hash. Se ejecuta mediante la extracción de los binarios SAM.

SAMInside / OphCrack / L0phtcrack- Hacen un volcado de los hash. Incluyen diccionarios para ataques por fuerza bruta.

DISPOSITIVOS MÓVILES

Esta sección dispone de un set de utilidades y herramientas para la recuperación de datos y análisis forense de dispositivos móviles. He incluido herramientas comerciales dado que utilizo algunas de ellas y considero que son muy interesantes e importantes.

iPhone

iPhoneBrowser - Accede al sistema de ficheros del iphone desde entorno gráfico.

iPhone Analyzer - Explora la estructura de archivos interna del iphone.

iPhoneBackupExtractor - Extrae ficheros de una copia de seguridad realizada anteriormente.

iPhone Backup Browser - Extrae ficheros de una copia de seguridad realizada anteriormente.

iPhone-Dataprotection - Contiene herramientas para crear un disco RAM forense, realizar fuerza bruta con contraseñas simples (4 dígitos) y descifrar copias de seguridad.

iPBA2 - Accede al sistema de ficheros del iphone desde entorno gráfico.

sPyphone - Explora la estructura de archivos interna.

BlackBerry

Blackberry Desktop Manager - Software de gestión de datos y backups.

Phoneminer - Permite extraer, visualizar y exportar los datos de los archivos de copia de seguridad.

Blackberry Backup Extractor - Permite extraer, visualizar y exportar los datos de los archivos de copia de seguridad.

MagicBerry - Puede leer, convertir y extraer la base de datos IPD.

Android

android-locdump. - Permite obtener la geolocalización.

androguard - Permite obtener, modificar y desensamblar formatos DEX/ODEX/APK/AXML/ARSC

viaforensics - Framework de utilidades para el análisis forense.

Osaf - Framework de utilidades para el análisis forense.

PRODUCTOS COMERCIALES

No podían faltar. Disponer de estas herramientas es una maravilla y un lujo el poder utilizarlas. Rápidas y concisas. Lo peor en alguna de ellas es el precio.

UFED Standard (http://www.cellebrite.com)

XRY (http://www.msab.com)

Mobilyze (http://www.blackbagtech.com)

SecureView2 (http://mobileforensics.susteen.com)

MobilEdit! (http://www.mobiledit.com)

Oxygen Forensic (http://www.oxygen-forensic.com)

CellDEK (http://www.logicube.com)

Mobile Phone Examiner (http://www.accessdata.com)

Lantern (http://katanaforensics.com)

Device Seizure (http://www.paraben.com)

Neutrino (www.guidancesoftware.com)

Fuente

Read More

[Lynis v1.3.8] The Unix/Linux Hardening tool

Lynis is a security tool to audit and harden Unix and Linux based systems. It scans the system by performing many security control checks, looks for installed software and determines compliance to standards. Also will it detects security issues and errors in configuration. At the end of the scan it will provide the warnings and suggestions to help you improving the security defense of your systems.

Some of the (future) features and usage options:

• System and security audit checks
• File Integrity Assessment
• System and file forensics
• Usage of templates/baselines (reporting and monitoring)
• Extended debugging features

This tool is tested or confirmed to work with:

AIX, Linux, FreeBSD, OpenBSD, Mac OS X, Solaris

Changelog

• New parameter –view-categories to display available test categories
• Added /etc/hosts check (duplicates) [NAME-4402]
• Added /etc/hosts check (hostname) [NAME-4404]
• Added /etc/hosts check (localhost mapping) [NAME-4406]
• Portmaster test for possible port upgrades [PKGS-7378]
• Check for SPARC improve boot loader (SILO) [BOOT-5142]
• NFS client access test [STRG-1930]
• Check system uptime [BOOT-5202]
• YUM repolist check [PKGS-7383]
• Contributors file added
• Improved locate database check and reporting [FILE-6410]
• Improved PAE/No eXecute test for Linux kernel [KRNL-5677]
• Disabled NIS domain name from test [NAME-4028]
• Extended NIS domain test to check BSD sysctl value [NAME-4306]
• Extended PAM tools check with PAM paths [AUTH-9262]
• Adjusted Apache check to avoid skipping it [HTTP-6622]
• Extended USB state testing [STRG-1840]
• Extended Firewire state testing [STRG-1846]
• Extended core dump test [KRNL-5820]
• Added /lib/i386-linux-gnu/security to PAM directories
• Added /usr/X11R6/bin directory to binary paths
• Improved readability of screen output
• Improved logging for several tests
• Improved Debian version detection
• Added warning to BIND test [NAME-4206]
• Extended binaries with showmount and yum
• Updated man page

Download Lynis v1.3.8

Read More

[DEFT] Distribución linux para análisis forense

DEFT es una reputada distribución que recopila herramientas de análisis forense y que alcanza ya su versión 8.

No se enfoca únicamente al típico análisis forense de discos duros, si no que tendremos la posibilidad también de realizar forenses de red e incluso de dispositivos móviles. Deft v8 está basada en Ubuntu 12.10, y posee un kernel versión 3.5.0-30. Como cualquier tipo de livecd actual, se nos ofrece la opción de instalar la distribución en nuestro disco duro.

Dentro del menú principal de la distribución, nos encontramos las siguientes categorías de herramientas incluidas:

Menú de herramientas de DEFT 8

• Analysis - Herramientas de análisis de ficheros de diferentes tipos
• Antimalware - Búsqueda de rootkits, virus, malware, así como PDFs con código malicioso.
• Data recovery - Software para recuperación de ficheros
• Hashing - Scripts que permiten la realización de cálculo de hashes de determinados procesos (SHA1, SHA256, MD5...)
• Imaging - Aplicaciones que podemos utilizar para realizar los clonados y adquisición de imágenes de discos duros u otras fuentes.
• Mobile Forensics - Análisis de Blackberry, Android, iPhone, así como información sobre las típicas bases de datos de dispositivos móviles en SQLite utilizadas por las aplicaciones.
• Network Forensics - Herramientas para procesamiento de información almacenada en capturas de red
• OSINT - Aplicaciones que facilitan la obtención de información asociada a usuarios y su actividad.
• Password recovery - Recuperación de contraseñas de BIOS, ficheros comprimidos, ofimáticos, fuerza bruta, etc.
• Reporting tools - Por último, dentro de esta sección encontraremos herramientas que nos facilitarán las tareas de generación de informes y obtención de evidencias que nos servirán para documentar el análisis forense. Captura de pantalla, recopilación de notas, registro de actividad del escritorio, etc.

Dentro de estas secciones, encontraréis muchísimas herramientas que evitarán tener que recopilarlas por cuenta propia. El listado completo de paquetes lo tenéis en este enlace. De esta versión última 8, todavía no existe un manual, pero podéis echar un vistazo al manual para la versión 7, si bien su uso es bastante simple y cada herramienta lleva su man asociado.

Por último, destacar la inclusión dentro de esta versión 8 de DART 2, una suite para gestión y respuesta ante incidentes desde sistemas operativos Windows, que incluye un lanzador de aplicaciones a herramientas para este sistema operativo.

Ejecutando DART en sistema operativo Windows

Podréis descargar la distribución en diferentes formatos (imagen ISO, máquina virtual y versión para pendrives USB, entre otros) teniendo disponibles varios mirrors. Sin duda, una livecd que no debe faltar también en nuestro arsenal de cds/usbs para llevar siempre encima.

Descargar DEFT Linux

Fuente

Read More

[NetworkMiner v1.4.1] Network Forensic Analysis Tool (NFAT)

NetworkMiner is a Network Forensic Analysis Tool (NFAT) for Windows (but also works in Linux / Mac OS X / FreeBSD).

NetworkMiner can be used as a passive network sniffer/packet capturing tool in order to detect operating systems, sessions, hostnames, open ports etc. without putting any traffic on the network.

NetworkMiner can also parse PCAP files for off-line analysis and to regenerate/reassemble transmitted files and certificates from PCAP files.

A professional edition of NetworkMiner is available for purchase from NETRESEC

The free edition is available here: NetworkMiner_1-4-1.zip.

NetworkMiner collects data (such as forensic evidence) about hosts on the network rather than to collect data regarding the traffic on the network. The main user interface view is host centric (information grouped per host) rather than packet centric (information showed as a list of packets/frames).

NetworkMiner can extract files and certificates transferred over the network by parsing a PCAP file or by sniffing traffic directly from the network. This functionality can be used to extract and save media files (such as audio or video files) which are streamed across a network from websites such as YouTube. Supported protocols for file extraction are FTP, TFTP, HTTP and SMB.

User credentials (usernames and passwords) for supported protocols are extracted by NetworkMiner and displayed under the “Credentials” tab. The credentials tab sometimes also show information that can be used to identify a particular person, such as user accounts for popular online services like Gmail or Facebook.

NetworkMiner Professional USB flash drive

Another very useful feature is that the user can search sniffed or stored data for keywords. NetworkMiner allows the user to insert arbitrary string or byte-patterns that shall be searched for with the keyword search functionality.

Download NetworkMiner 1.4.1

Read More

[BackBox Linux] Version 3.0

BackBox is a Linux distribution based on Ubuntu Desktop, and designed for performing penetration testing, incident response, computer forensics, and intelligence gathering. It uses the Xfce desktop environment, and is developed by Raffaele Forte and a small but dedicated team.

This release include features such as the new Linux Kernel 3.2 flower and Xfce 4.8. Apart from the system major upgrade, all auditing tools are up to date as well.

What's new

• System upgrade
• Bug corrections
• Performance boost
• Improved start menu
• Improved Wi-Fi dirvers (compat-wireless aircrack patched)
• New and updated hacking tools

System requirements

• 32-bit or 64-bit processor
• 512 MB of system memory (RAM)
• 4.4 GB of disk space for installation
• Graphics card capable of 800×600 resolution
• DVD-ROM drive or USB port

Download BackBox Linux version 3.0

Read More

[DEFT 7.2] Computer Forensic live system

DEFT 7.2 released its last 32bit release but we will support bugfix until 2020. DEFT is a new concept of Computer Forensic live system that uses LXDE as desktop environment and thunar file manager and mount manager as tool for device management. It is a very easy to use system that includes an excellent hardware detection and the best free and open source applications dedicated to incident response and computer forensics

New in this release:

• Virtual appliance based on Vmware 5 with USB3 support
• Kernel 3.0.0-26
• Autopsy 3 beta 5 (using Wine – please note that you need minimum 1GB ram)
• Log2tmeline 0.65
• Guymager 0.6.12-1
• Vmfs support
• Some mirror fix

Download DEFT 7.2 iso

Read More