ITrig

CAINE 9.0 "Quantum" - Digitale Forensik made in Italy

Mit CAINE 9.0 wurde die digitale forensische Distribution aus Italien erneut aktualisiert.
Die Distribution bringt neben den üblichen Bekannten aus dem Linuxumfeld mit Win-Ufo auch Tools für die Untersuchung von Windows Systemen mit.

Quantum wird mit Kernel 4.4.0-97 bzw. Ubuntu 16.04 64Bit ausgeliefert und hat mit Systemback einen einfachen Installer an Bord.

Damit es nach dem Start nicht zu Verwirrungen kommt, hier ein paar Hinweise:

Beim direkten Booten werden alle Laufwerke im Lesemodus gemountet, zusätzlich lässt sich das System in den RAM booten. Der SSH Server ist nun ab Werk deaktiviert und muss gesondert aktiviert werden.

Wie bei anderen Distributionen aus diesem Sektor wurden Tools aktualisiert oder neu aufgenommen, hier eine Auswahl:

• RegRipper - Windows Registry auslesen und untersuchen
• The Harvester - Domain und E-Mail Informationssuche
• Tinfoleak - Twitter Informationsbeschaffung
• Infoga - Informationssuche via Domain
• VolDiff  - Malware Memory Footprint Analyse

Weiter sind SafeCopy, PFF tools, pslistutil, mouseemu dazu gekommen.

NST 26 Network Security Toolkit SVN:9267

Das Network Security Toolkit hatte ich mit Version 22 das erste Mal im Blog vorgestellt.

Inzwischen ist Version 26 veröffentlich worden. Der auf Fedora 26 basierende Werkzeugkasten für Adminstratoren beinhaltet viele praktische Tools um Netzwerke zu analysieren oder zu penetrieren.

Neu dabei sind unter anderem The Sleuth Kit, Hashrat Utility oder Robot.txt Analyse mit Parseo, sowie OpenVAS. 

Eine komplette Liste ist hier zu finden.

Parrot Security 3.9 

Der Papagei ist weiter recht munter, erst vor kurzem wurde die letzte Version veröffentlicht.

Mit v3.9 wurde eine Sandbox basierend auf firejail integriert. 

Die übliche Systempflege wurde für das Release natürlich ebenfalls betrieben.

Übersicht forensische Distributionen 11/17

So ziemlich genau vor einem Jahr ist die letzte Version des Computer Aided INvestigative Environment Systems erschienen.
Die Sammlung für forensische Analyse und Tools  zeichnet sich durch die Integration der forensischen Windows Tool Sammlung Win-UFO aus, auch diese ist in CAINE 7.0 enthalten.

Das System der Live CD schnurrt immer noch mit Ubuntu 14.04.1 64bit und versteht sich auf UEFI/SecureBoot. 
Die Installation basiert auf SystemBack (Der sichere Leser weiß, dies war bereits beim Erstellen einer eigenen Distro Thema.

Schreibschutz

Alle Laufwerke eines zu untersuchenden Systems werden im Read Only Modus eingelesen, diese Einstellungen lassen sich über das Desktop Tool unBlock jederzeit anpassen.

CAINE Remote

Durch die Integration eines VNC Servers, bzw. Clients kann die Tool Sammlung nun auch aus der Ferne gesteuert werden.

Neue Pakete und aktualisierte Programme

Die Forensik Live CD hat mit Version 7.0 neue Pakete erhalten, Programme wie BleachBit, DDRescue oder ZuluCrypt wurde erneuert oder hinzugefügt. 
Gleichzeitig wurden beispielsweise OpenSSL und SSH auf eine neuere Version angehoben. Die gesamte Liste der integrierten Tools ist hier zu finden.

Die Live CD steht als fertige ISO zur Verfügung und ist für USB Sticks geeignet Die Entwickler empfehlen Rufus oder UnebootIn für die Erstellung eines Sticks.

Durch die Ultimate Forensics Outflows für Windows Systeme, ist diese Live CD sicherlich auch für die breitere Masse (Windows) interessant, da sie Tools von Nirsoft und Co unter einen Hut bringt.

Das könnte dich auch interessieren

Im März hatte ich ausführlich über diverse Linux Distributionen für die IT Forensik berichtet (siehe Artikel). Aufbauend dazu möchte ich euch über Änderungen bei einigen Forensiktools informieren.

Kali Linux 1.0.4

Aus Tradition haben die Jungs rund um Kali Linux (ehemals BackTrack) bereits während des Hackertreffens "Black Hat" und "DEF CON" ihr Baby aktualisiert. Mit der neuen Version 1.0.4 wurden auf Wunsch der Community einige Hackertools neu aufgenommen: Pass the Hash Toolkit, enum4linux, RegRipper, Unicornscan, jSQL, JD-GUI, Ghost Phisher, Uniscan, Arachni und Bully.

Die Funktion der einzelnen Tools möchte ich hier nicht näher erklären. Für ein Update benötigt ihr nicht unbedingt ein neues Image, es reicht ein "apt-get update" und "apt-get dist-upgrade" auf der Konsole. Neben neuen Programmen wurde der ARM Support weiter ausgebaut und um BeagleBone Black, CuBox und Efika MX erweitert. Mit dieser breiten Palette ist Kali Linux bisher allein auf weiter Flur. Download Kali Linux 1.0.4

DEFT 8

Auch am Digital Evidence & Forensic Toolkit wird ständig gearbeitet. So haben unsere italienischen Freunde eine neue Version 8 veröffentlicht, welche die zweite Version von DART (Digital Advanced Response Toolkit) enthält.

Zu den Neuerungen zählt eine App Suchmaschine im Stil von Spotlight, eine neue Audit Report Engine und die Möglichkeit Anwendungen als Administrator zu starten. Die nahezu 250 enthaltenen Tools entnehmt ihr besser der offiziellen Liste.

Die Distribution selbst hat ebenfalls einiges an Änderungen erfahren. So gibt es mit dem neuen 64bit Kernel keine Beschränkung mehr auf 4GB RAM, weitere neue Programme sind The Sleuthkit 4.1, Autopsy 2 – Ready for Autopsy 3, Digital Forensics Framework 1.3, Guymager 0.7.1, Cyclone 0.2,  Esximager, Recoll 1.19.5, Bulk extractor Dumpy 0.2 (parsing tool für dumps), Skype extractor und Fastboot (re-flash Android partition tool), usw. Download DEFT 8

Paladin 4.0

Scheint aus unerfindlichen Gründen offline zu sein.

BackBox Linux 3.05

Als Alternative würde sich zum Beispiel BackBox anbieten. Die Distribution basiert auf Ubuntu und XFce. Das Projekt stammt aus Italien und ist seit 2010 am expandieren. Großer Vorteil von BlackBox ist das eigene Repository, welches den Anwender stetig mit Updates versorgt. Ca. 70 Programme sorgen für die richtige Analyse von Wlan, Netzwerk oder VoIP. Daneben gibt es weitere Tools für Reverse Engineering oder Eploitation. Eine komplette Liste der Tools ist hier zu finden. Download BackBox

NetSecL OS 4.0

Diese Sammlung für Penetration Testing kommt aus Bulgarien und basiert, anders als die meisten Forensik-Distros, auf Open Suse 64bit und ist zusätzlich installierbar. Das System ist von Haus aus mit Grsecurity gehärtet und verwaltet seine Pakete im RPM Format. Hier eine Auswahl der ca. 50 Tools auf der DVD: Aircrack-ng, APG(Automated Password Generator) Arping, ArpON (ARP handler inspection), arp-scan, arptables, Arpwatch, Chkrootkit, Clam AntiVirus,coWPAtty, Chntpw, EtherApe, etherdump, Ethtool, FPing, Firewall Builder, icmpinfo, IPTraf-ng, Iputils, Kismet, Mausezahn, Mtr, NDisc6, Nmap, OpenVas, Ostinato, P0f, Pyrit, Wireshark. Download NetSecL 4.0

Matriux 2.49

Eine weitere Sammlung an Penetrations Tools und forensischen Programmen bietet Matriux. Die indische Distribution basiert auf Debian und siedelt sich bei Pentrations-Testing, sowie Forensische Untersuchungen an. Matriux lässt sich installieren und somit als eigenständiges System nutzen. Die neueste Version 2.49b besitzt zwar noch einen Beta-Status, ist jedoch schon einsatzfähig. Die Liste an verfügbaren Programmen kann sich sehen lassen, über 300 Tools aus den Bereichen Auskundschaften, Scannen, Attackierende Tools, Frameworks, VoIP, digitale Forensik, Debugger und Tracer stehen zur Verfügung. Da sollte für jeden etwas dabei sein. Download Matriux

Zusammenfassung

Wie schon beim ersten Artikel habe ich einen Überblick erstellt, damit ihr noch einmal alle Distributionen im Überblick habt.