На этот раз речь о различных десктопных Linux-дистрибутивах, но найдется место и Android, и даже Windows.
Большинство хакерских ОС отчасти похожи на подборки узкоспециализированных утилит, которые я уже выкладывал. Они представляют собой готовые наборы инструментов с некоторыми предустановками для оптимальной работы — ничего эксклюзивного. Простые скрипты, например, katoolin или PFT за пару команд делают из обыкновенной Ubuntu или Debian дистрибутив для тестирования на проникновение, так что многие из сотрудников Бастион работают из-под обычных Linux-дистрибутивов, заточенных под их нужды, а другие преимущественно используют Kali.
Kali Linux не нуждается в представлении. Несмотря на большое число зависимостей и связанные с ними проблемы с обновлениями, этот дистрибутив de facto стал отраслевым стандартом для пентестеров. Он запускается на самых разных платформах, от Raspberry Pi до смартфонов, и для него есть инструкции и туториалы на любой случай жизни. Впрочем, с появлением Subsystem for Linux многие инструменты из того же Kali можно запускать прямо в Windows. Например, этой возможностью пользуются наши специалисты по реагированию на инциденты, чтобы искать улики на скомпрометированных компьютерах.
В то же время существует огромное разнообразие Linux-дистрибутивов, и среди условных BolgenOS немало проектов со своим видением, фичами и активной поддержкой, которые, в отличие от Kali Linux, неизвестны даже некоторым опытным пентестерам.
Parrot базируется на Debian и по концепции близок к Kali Linux, но предлагает больше предустановленного ПО для «мирного» повседневного использования. Впрочем, внутри хватает и специализированных утилит: в состав дистрибутива включено больше 600 инструментов для Red и Blue Teaming, сгруппированных в меню по назначению.
Parrot доступен в виде образов VirtualBox, Parallels и VMware и работает в виртуалках на Mac M1. Также эту ОС можно развернуть в Docker-контейнере. Она поддерживает криминалистический режим, в котором не оставляет следов на хост-системе. Пускай Parrot менее популярна, но не уступает Kali по удобству использования.
BlackArch выделяется огромной библиотекой специализированных приложений. Сейчас репозиторий проекта содержит 2812 инструментов, а его изучение может занять не один день.
Это одновременно и плюс и минус проекта. С одной стороны, здесь есть утилиты на любой случай жизни, а с другой — в репозитории BlackArch много программ, дублирующих функциональность друг друга. И, хотя инструменты можно устанавливать по одному или группами, эта операционная система все равно тяжеловесна и быстро работает не на каждом компьютере. Кроме того, начинающие пользователи отмечают сложный интерфейс, бедную документацию и недостаток видеоуроков. Итого: пользоваться BlackArch сложнее, чем Kali или Parrot.
LiveUSB-дистрибутив с набором предварительно настроенных инструментов и ядром, модифицированным для взлома Wi-Fi сетей. Он основан на Gentoo Linux, так что дает опыт низкоуровневой настройки ОС и позволяет зарыться в нюансы компилирования ПО для взлома и реверс-инжиниринга. Продолжает развиваться с 2014 года, несмотря на практически полное отсутствие официальной документации.
Итого: Pentoo создает ощущение инструмента для академических исследований и экспериментов, а не для повседневной работы. Фактически эта ОС предназначена для тех пользователей, которые хорошо разбираются в исходном дистрибутиве.
Разработчики Fedora поддерживают много специализированных дистрибутивов, есть среди них и сборка для безопасников. По словам Йорга Саймона (Joerg Simon), создателя Fedora Security Lab, эта версия ОС появилась как учебная и демонстрационная платформа для проведения лекций по информационной безопасности.
Fedora Security Lab запускается с USB-накопителя, сохраняет на нем ПО и результаты работы. Но, главное, к ней прилагаются учебники и подробно документированный тестовый стенд Fedora Security Lab Test Bench, на котором можно легально оттачивать хакерские навыки.
BackBox существует с 2010 года и этим летом получил 8-ю, обновленную версию под кодовым названием «Sara», а вместе с ней свежее ядро (Linux 5.15) и доработанный UI на базе оболочки XFCE. Концептуально этот дистрибутив предназначен для начинающих пентестеров и специалистов по безопасности. Все предустановленные программы в нем систематизированы и отобраны так, чтобы избежать избыточности. Функционально BackBox беднее, чем Kali Linux, но вполне может пригодиться начинающим исследователям.
Этот проект развивается при поддержке фонда OWASP. Samurai представляет собой платформу для быстрого развертывания учебных мишеней, например, Juice Shop. Самурай включает набор популярных инструментов для пентестинга (Maltego и Fierce, w3af и Burp Suite и т. д.) и wiki, предназначенную для написания отчетов по пентестам.
SANS Investigative Forensic Toolkit — дистрибутив для цифровой криминалистики, созданный Робом Ли (Rob Lee) в 2007 году для курса SANS FOR508. С тех пор многие обучающие курсы SANS ориентированы на его использование. SIFT Workstation поддерживает 14 криминалистических форматов доказательств (Evidence Image) от AFF (Advanced Forensic Format) до qcow.
Эта ОС основана на Ubuntu, устанавливается и поверх оригинальной операционной системы, и в качестве виртуальной машины. А еще разработчики дистрибутива заявляют об официальной поддержке подсистемы Linux в Windows 10.
Институт SANS стал местом рождения не для одного специализированного Linux-дистрибутива. REMnux появился при содействии Ленни Зельцера (Lenny Zeltser), автора курса SANS FOR610 по реверс-инжинирингу вредоносного ПО. Соответственно, и REMnux ориентирован на криминалистический анализ вредоносных программ. Он предоставляет инструменты для статического и динамического анализа кода, экспертизы памяти — внутри полный пакет необходимых утилит.
REMnux также позиционируется, как самостоятельный Linux-дистрибутив и устанавливается либо в качестве виртуальной машины или контейнера, либо поверх Ubuntu. Причем, он без проблем ставится вместе с SIFT Workstation. Создатели обоих дистрибутивов уверяют, что их сборки корректно работают в тандеме.
CommandoVM официально представлена в начале 2019 года на Black Hat Asia Arsenal. Пожалуй, ее нельзя считать полноценной операционной системой. CommandoVM — это набор сценариев конфигурации, призванный подготовить виртуальную машину под управлением Windows 10 для наступательных операций при помощи менеджера пакетов Chocolatey, Boxstarter и MyGet. Этот стек позволяет автоматически централизованно обновлять содержимое ОС, почти как в Linux.
Компания Mandiant, которая поддерживает разработку CommandoVM, позиционирует ее, как платформу для проведения внутренних тестов на проникновение, систему для работы с Active Directory. Однако CommandoVM позволяет запускать Kali Linux при помощи WSL, так что потенциальная сфера применения шире. Кстати, в CommandoVM интегрирован VcXsrv — сервер для работы с графическим интерфейсом Kali Linux на рабочем столе Windows.
У Mandiant есть и другие проекты специальных дистрибутивов, основанных на Windows. FLARE VM вдохновлен Kali Linux и REMnux. Он объединяет в себе инструменты для тестирования на проникновение, реверс-инжиниринга и анализа вредоносных программ. Этот набор сценариев разворачивает отладчики, дизассемблеры, декомпиляторы, утилиты для статического и динамического анализа и оценки уязвимости приложений. Плюс инструменты, разработанные командой FLARE, такие как FLOSS и FakeNet-NG.
ThreatPursuit VM, в свою очередь, предназначен для аналитиков и ориентирован на разведку, аналитику, сбор статистики и поиск и моделирование угроз.
Эта вариация Linux появилась в рамках Trace Labs — краудсорсингового проекта по поиску пропавших без вести. Она создавалась для того, чтобы новые исследователи могли быстро подключиться к работе, так что предоставляет готовый набор базовых инструментов и сценариев для разведки по открытым источникам с уклоном в поиск людей. Базируется на live-build-config Kali Linux.
Еще один Linux-дистрибутив на базе Ubuntu — на этот раз, ориентированный на цифровую криминалистику, анализ вредоносных программ и разведку по открытым источникам и, что интересно, исследования технологий компьютерного зрения. Дебютировал на конференции по безопасности AvTokyo в 2018 году.
Tsurugi Linux ориентирован на простоту освоения: предустановленные программы в меню сгруппированы по стадиям расследования, а встроенные профили позволяют переключаться между наборами утилит для форензики и OSINT. Распространяется под лицензией GNU, однако некоторые включенные в него инструменты не имеют открытого исходного кода.
Представляет собой нечто среднее между Tsurugi и SIFT Workstation. Этот дистрибутив вобрал в себя более более 175 инструментов для киберрасследований, форензики, сбора и фиксации доказательств. Он основан на серверной версии Ubuntu 22.04 LTS, пропускает весь трафик через Tor, подобно тому, как это делает Tails, но, в то же время, CSI LINUX можно подключить к шлюзу Whonix.
Одна из фишек этого дистрибутива, которой нет в аналогичных сборках, то, как он помогает структурировать информацию. При помощи утилиты CSI Case Management операционная система автоматически собирает результаты работы запущенных инструментов и сортирует их по соответствующим папкам. Это избавляет исследователя от массы рутинных действий.
Платформа для мониторинга сетевой безопасности, управления журналами и поиска угроз в корпоративных сетях. Позволяет быстро развернуть наблюдение и собирать оповещения с сотен сетевых узлов и анализировать полученные данные. Включает в себя такие инструменты, как Elasticsearch, Logstash, Kibana, Stenographer, CyberChef, NetworkMiner, Suricata, Zeek, Wazuh, Elastic Stack и многие другие.
О большинстве операционных систем из этой категории уже неоднократно писали на Хабре, но приватность и анонимность становятся все актуальнее, так что эти решения заслуживают еще одного упоминания.
Не Kali Linux единой. Как видите, существует немало специализированных дистрибутивов, предназначенных для специалистов по информационной безопасности, и вряд ли есть человек, который досконально знает особенности каждого из них.
на главную сниппетов