На этот раз речь о различных десктопных Linux-дистрибутивах, но найдется место и Android, и даже Windows.
Большинство хакерских ОС отчасти похожи на подборки узкоспециализированных утилит, которые я уже выкладывал. Они представляют собой готовые наборы инструментов с некоторыми предустановками для оптимальной работы — ничего эксклюзивного. Простые скрипты, например, katoolin или PFT за пару команд делают из обыкновенной Ubuntu или Debian дистрибутив для тестирования на проникновение, так что многие из сотрудников Бастион работают из-под обычных Linux-дистрибутивов, заточенных под их нужды, а другие преимущественно используют Kali.
Kali Linux не нуждается в представлении. Несмотря на большое число зависимостей и связанные с ними проблемы с обновлениями, этот дистрибутив de facto стал отраслевым стандартом для пентестеров. Он запускается на самых разных платформах, от Raspberry Pi до смартфонов, и для него есть инструкции и туториалы на любой случай жизни. Впрочем, с появлением Subsystem for Linux многие инструменты из того же Kali можно запускать прямо в Windows. Например, этой возможностью пользуются наши специалисты по реагированию на инциденты, чтобы искать улики на скомпрометированных компьютерах.
В то же время существует огромное разнообразие Linux-дистрибутивов, и среди условных BolgenOS немало проектов со своим видением, фичами и активной поддержкой, которые, в отличие от Kali Linux, неизвестны даже некоторым опытным пентестерам.
Parrot Security Edition
Parrot базируется на Debian и по концепции близок к Kali Linux, но предлагает больше предустановленного ПО для «мирного» повседневного использования. Впрочем, внутри хватает и специализированных утилит: в состав дистрибутива включено больше 600 инструментов для Red и Blue Teaming, сгруппированных в меню по назначению.
Parrot доступен в виде образов VirtualBox, Parallels и VMware и работает в виртуалках на Mac M1. Также эту ОС можно развернуть в Docker-контейнере. Она поддерживает криминалистический режим, в котором не оставляет следов на хост-системе. Пускай Parrot менее популярна, но не уступает Kali по удобству использования.
BlackArch
BlackArch выделяется огромной библиотекой специализированных приложений. Сейчас репозиторий проекта содержит 2812 инструментов, а его изучение может занять не один день.
Это одновременно и плюс и минус проекта. С одной стороны, здесь есть утилиты на любой случай жизни, а с другой — в репозитории BlackArch много программ, дублирующих функциональность друг друга. И, хотя инструменты можно устанавливать по одному или группами, эта операционная система все равно тяжеловесна и быстро работает не на каждом компьютере. Кроме того, начинающие пользователи отмечают сложный интерфейс, бедную документацию и недостаток видеоуроков. Итого: пользоваться BlackArch сложнее, чем Kali или Parrot.
Pentoo
LiveUSB-дистрибутив с набором предварительно настроенных инструментов и ядром, модифицированным для взлома Wi-Fi сетей. Он основан на Gentoo Linux, так что дает опыт низкоуровневой настройки ОС и позволяет зарыться в нюансы компилирования ПО для взлома и реверс-инжиниринга. Продолжает развиваться с 2014 года, несмотря на практически полное отсутствие официальной документации.
Итого: Pentoo создает ощущение инструмента для академических исследований и экспериментов, а не для повседневной работы. Фактически эта ОС предназначена для тех пользователей, которые хорошо разбираются в исходном дистрибутиве.
Fedora Security Lab
Разработчики Fedora поддерживают много специализированных дистрибутивов, есть среди них и сборка для безопасников. По словам Йорга Саймона (Joerg Simon), создателя Fedora Security Lab, эта версия ОС появилась как учебная и демонстрационная платформа для проведения лекций по информационной безопасности.
Fedora Security Lab запускается с USB-накопителя, сохраняет на нем ПО и результаты работы. Но, главное, к ней прилагаются учебники и подробно документированный тестовый стенд Fedora Security Lab Test Bench, на котором можно легально оттачивать хакерские навыки.
BackBox
BackBox существует с 2010 года и этим летом получил 8-ю, обновленную версию под кодовым названием «Sara», а вместе с ней свежее ядро (Linux 5.15) и доработанный UI на базе оболочки XFCE. Концептуально этот дистрибутив предназначен для начинающих пентестеров и специалистов по безопасности. Все предустановленные программы в нем систематизированы и отобраны так, чтобы избежать избыточности. Функционально BackBox беднее, чем Kali Linux, но вполне может пригодиться начинающим исследователям.
SamuraiWTF
Этот проект развивается при поддержке фонда OWASP. Samurai представляет собой платформу для быстрого развертывания учебных мишеней, например, Juice Shop. Самурай включает набор популярных инструментов для пентестинга (Maltego и Fierce, w3af и Burp Suite и т. д.) и wiki, предназначенную для написания отчетов по пентестам.
SIFT Workstation
SANS Investigative Forensic Toolkit — дистрибутив для цифровой криминалистики, созданный Робом Ли (Rob Lee) в 2007 году для курса SANS FOR508. С тех пор многие обучающие курсы SANS ориентированы на его использование. SIFT Workstation поддерживает 14 криминалистических форматов доказательств (Evidence Image) от AFF (Advanced Forensic Format) до qcow.
Эта ОС основана на Ubuntu, устанавливается и поверх оригинальной операционной системы, и в качестве виртуальной машины. А еще разработчики дистрибутива заявляют об официальной поддержке подсистемы Linux в Windows 10.
REMnux
Институт SANS стал местом рождения не для одного специализированного Linux-дистрибутива. REMnux появился при содействии Ленни Зельцера (Lenny Zeltser), автора курса SANS FOR610 по реверс-инжинирингу вредоносного ПО. Соответственно, и REMnux ориентирован на криминалистический анализ вредоносных программ. Он предоставляет инструменты для статического и динамического анализа кода, экспертизы памяти — внутри полный пакет необходимых утилит.
REMnux также позиционируется, как самостоятельный Linux-дистрибутив и устанавливается либо в качестве виртуальной машины или контейнера, либо поверх Ubuntu. Причем, он без проблем ставится вместе с SIFT Workstation. Создатели обоих дистрибутивов уверяют, что их сборки корректно работают в тандеме.
CommandoVM
CommandoVM официально представлена в начале 2019 года на Black Hat Asia Arsenal. Пожалуй, ее нельзя считать полноценной операционной системой. CommandoVM — это набор сценариев конфигурации, призванный подготовить виртуальную машину под управлением Windows 10 для наступательных операций при помощи менеджера пакетов Chocolatey, Boxstarter и MyGet. Этот стек позволяет автоматически централизованно обновлять содержимое ОС, почти как в Linux.
Компания Mandiant, которая поддерживает разработку CommandoVM, позиционирует ее, как платформу для проведения внутренних тестов на проникновение, систему для работы с Active Directory. Однако CommandoVM позволяет запускать Kali Linux при помощи WSL, так что потенциальная сфера применения шире. Кстати, в CommandoVM интегрирован VcXsrv — сервер для работы с графическим интерфейсом Kali Linux на рабочем столе Windows.
FLARE VM и ThreatPursuit VM
У Mandiant есть и другие проекты специальных дистрибутивов, основанных на Windows. FLARE VM вдохновлен Kali Linux и REMnux. Он объединяет в себе инструменты для тестирования на проникновение, реверс-инжиниринга и анализа вредоносных программ. Этот набор сценариев разворачивает отладчики, дизассемблеры, декомпиляторы, утилиты для статического и динамического анализа и оценки уязвимости приложений. Плюс инструменты, разработанные командой FLARE, такие как FLOSS и FakeNet-NG.
ThreatPursuit VM, в свою очередь, предназначен для аналитиков и ориентирован на разведку, аналитику, сбор статистики и поиск и моделирование угроз.
OSINT VM
Эта вариация Linux появилась в рамках Trace Labs — краудсорсингового проекта по поиску пропавших без вести. Она создавалась для того, чтобы новые исследователи могли быстро подключиться к работе, так что предоставляет готовый набор базовых инструментов и сценариев для разведки по открытым источникам с уклоном в поиск людей. Базируется на live-build-config Kali Linux.
Tsurugi Linux
Еще один Linux-дистрибутив на базе Ubuntu — на этот раз, ориентированный на цифровую криминалистику, анализ вредоносных программ и разведку по открытым источникам и, что интересно, исследования технологий компьютерного зрения. Дебютировал на конференции по безопасности AvTokyo в 2018 году.
Tsurugi Linux ориентирован на простоту освоения: предустановленные программы в меню сгруппированы по стадиям расследования, а встроенные профили позволяют переключаться между наборами утилит для форензики и OSINT. Распространяется под лицензией GNU, однако некоторые включенные в него инструменты не имеют открытого исходного кода.
CSI LINUX
Представляет собой нечто среднее между Tsurugi и SIFT Workstation. Этот дистрибутив вобрал в себя более более 175 инструментов для киберрасследований, форензики, сбора и фиксации доказательств. Он основан на серверной версии Ubuntu 22.04 LTS, пропускает весь трафик через Tor, подобно тому, как это делает Tails, но, в то же время, CSI LINUX можно подключить к шлюзу Whonix.
Одна из фишек этого дистрибутива, которой нет в аналогичных сборках, то, как он помогает структурировать информацию. При помощи утилиты CSI Case Management операционная система автоматически собирает результаты работы запущенных инструментов и сортирует их по соответствующим папкам. Это избавляет исследователя от массы рутинных действий.
Security Onion
Платформа для мониторинга сетевой безопасности, управления журналами и поиска угроз в корпоративных сетях. Позволяет быстро развернуть наблюдение и собирать оповещения с сотен сетевых узлов и анализировать полученные данные. Включает в себя такие инструменты, как Elasticsearch, Logstash, Kibana, Stenographer, CyberChef, NetworkMiner, Suricata, Zeek, Wazuh, Elastic Stack и многие другие.
Бонус: операционные системы для личной кибербезопасности
О большинстве операционных систем из этой категории уже неоднократно писали на Хабре, но приватность и анонимность становятся все актуальнее, так что эти решения заслуживают еще одного упоминания.
- Linux Kodachi — предварительно настроенный дистрибутив на базе Ubuntu с принудительным последовательным туннелированием генерируемого системой трафика через VPN и TOR, набором инструментов для защиты конфиденциальности (VeraCrypt, zuluCrypt, KeePassXC, утилиты для анонимизации метаданных и т. д.), а также функцией экстренного удаления данных с компьютера.
- Septor — сходен с Kodachi по концепции, но появился сравнительно недавно и больше полагается на сеть TOR.
- Tails OS — дистрибутив, безопасность которого обеспечивается загрузкой с носителя и удалением данных после каждой перезагрузки. Слабо подходит для повседневной работы, но зато позволяет работать на ненадежных компьютерах и не оставляет следов на жестком диске. Его старый, но все еще актуальный обзор опубликован на Хабре.
- Whonix — дуэт из пары виртуальных машин на базе Debian с продвинутой защитой от сетевых атак, направленных на деанонимизацию пользователя.
- Qubes OS — операционная система на основе гипервизора, продвигающая концепцию безопасности через изоляцию всего и вся в выделенных контейнерах. Обладает сложной и интересной архитектурой. У этой операционной системы есть конкурент — Subgraph OS, однако эта ОС подвергается переделке и сейчас недоступна для загрузки на официальном сайте.
- GrapheneOS — мобильная операционная система на базе Android, предназначенная для смартфонов из линейки Google Pixel. Ее важное отличие от многочисленных кастомных сборок и переработок AOSP в рабочей проверке подписи операционной системы пользовательскими ключами. Эта фича позволяет заново заблокировать загрузчик после установки ОС и таким образом закрывает множество векторов атак, возможных при физическом доступе к смартфону. Кроме того, в GrapheneOS уделено много внимания устранению известных уязвимостей и повышению конфиденциальности. Например, используется усиленная библиотека libc и защищенный распределитель памяти malloc, ужесточены политики SELinux и seccomp-bpf.
Не Kali Linux единой. Как видите, существует немало специализированных дистрибутивов, предназначенных для специалистов по информационной безопасности, и вряд ли есть человек, который досконально знает особенности каждого из них. Напишите в комментариях, если вам будет интересно прочитать профессиональный обзор одного из этих проектов и, возможно, я сумею уговорить наших пентестеров поработать именно с ним.
Комментарии (5)
Andrei1038
30.11.2022 11:08Где-то на хабре уже был обзор Parrot и там была критика, мол у них сетевой интерфейс след оставляет.
Shaman_RSHU
Для чего они все, если можно просто собрать именно те утилиты, которыми пользуешься например на том же ArchLinux. Появилась новая задача? Нашел нужную утилиту, собрал, установил. Но ставить (или гонять на виртуалке) эти монстры с 99% не нужного в данный момент софта.
garwall
так вы слона не продадите!
SantrY Автор
Для создателей BlackArch самоцелью видимо и было создание такого монстра) Вариант для тех, кто и сам не знает, что ему нужно.
Security Lab и SIFT Workstation скорее про однородность — про то, чтобы у всех студентов были одинаковые рабочие машины. OSINT VM близка по концеции — создавалась, чтобы энтузиасты не перегорали, чтобы снизить порог вхождения в расследования.
«Дистрибутивы» на базе Windows нужны для облегчения настройки инструментария. Установка менеджеров, загрузка пакетов под Windows — подозреваю, что при самостоятельной настройке будет уйма неочевидных танцев с бубном.
CSI LINUX довольно тесно интегрирована с софтом для расследований, с ходу не скажу, как реализовать аналогичное логирование результатов самостоятельно.