Skip to content

Sysinternals Tools ohne Browser via Windows Explorer installieren

Die bekannte Sysinternals Suite mit Programmen wie Process Explorer oder Autoruns wurde ja bekanntlich schon vor langer Zeit von Microsoft übernommen.
Die Sysinternals Leute haben der Toolssammlung einen speziellen Server für gegönnt, bestimmt schon länger, mir ist das allerdings neu.

Sysinternals Tools mit dem Windows Explorer öffnen

Für die Installation einzelner Sysinternals Programme ist kein Browser notwendig.

Microsoft stellt einen Server bereit, der sich wie ein lokaler Server aufrufen lässt.

sysinternals
Dazu muss nur folgender UNC Pfad "\\live.sysinternals.com" in der Adresszeile des Windows Explorers oder unter Windows 10 in der globalen Suche eingegeben werden. Auch via Shortcut "Win+R" ist der schnelle Aufruf möglich.

sysinternals-browser

Alternativ ist der Download via Webseite ebenfalls möglich, dennoch ist das Öffnen direkt im Explorer ein großer Vorteil, besonders bei einer Untersuchung via Live CD oder abgespeckten Systemen, welche keine Browser integriert haben. 

Fazit

Der Download bzw. die Installation via Windows Explorer und UNC Pfad ist ein praktische Ergänzung der Windows Toolsuite.

Sysinternals

Sicherheits Distributionen News - BlackArchLinux, BackBox, Kali Linux und Parrot Security

Es sind ein paar Wochen ins Land gezogen, somit gibt es Neuigkeiten von der IT Security Front. Neben Aktualisierungen, sind heute zwei neue Distributionen im Programm

Black Arch Linux - Ein Topf voll Tools 

Arch Linux war in den letzten Wochen öfters in der Presse. Zum einen wurde ein Derivat unter dem Titel Apricity OS veröffentlicht, welches das System der breiten Masse zugänglicher machen soll, zum anderen wurde die Sicherheits-Distribution BlackArch auf einen aktuellen Stand gebracht.

BlackArch-Linux
Die Live CD basiert auf Arch Linux, welches nicht zu den verbreitestens Systemen gehört, aber darum nicht weniger beliebt ist.

Die schwarze Edition wurde ganz auf Sicherheits- und Penetrationstests ausgelegt und beinhaltet in der neuesten Version 2016.04.28 über 1500 Tools (laut eigener Aussage).
Diese lange Liste beinhaltet die üblichen Verdächtigen im IT-Forensik-Bereich und würde hier den Rahmen sprengen. Die vorhandenen Programme lassen sich innerhalb Black Arch Linux allerdings auflisten.

sudo pacman -Sgg | grep blackarch | cut -d' ' -f2 | sort -u


Die Oberfläche wird von Fluxbox gestellt, zusätzlich stehen i3, WMii, Spectrwm, awesome, dwm und Openbox zur Verfügung.

BlackArch-Linux-Tool-Sammlung

Besitzer einer Standard Arch Linux Distribution haben die Möglichkeit auf Black Arch Linux zu wechseln.

curl -O https://blackarch.org/strap.sh 
sha1sum strap.sh # should match : 86eb4efb68918dbfdd1e22862a48fda20a8145ff 
chmod +x strap.sh
sudo ./strap.sh

Eine ausführliche Anleitung findet sich hier.

Fazit

Arch Linux Anwender sind über diese Security Distribution sicherlich glücklich. 
Für Arch Anfänger stellt das System zu Anfangs einige Hürden auf, welche sich allerdings meistern lassen.
Somit verbleibt ein solides Sicherheits-System mit einer sehr großen Auswahl an Programmen.

Download


BackBox 4.x - Neuer LTS Kernel

Back Box wurde zwar mit keiner neuen Version bedacht, unterstützt aber den neuen Ubuntu LTS Kernel.

backbox

Dieser lässt sich wie folgt installieren

sudo apt-get install --install-recommends linux-generic-lts-xenial xserver-xorg-core-lts-xenial xserver-xorg-lts-xenial xserver-xorg-video-all-lts-xenial xserver-xorg-input-all-lts-xenial libwayland-egl1-mesa-lts-xenial

Download



Kali Linux 2016.2 - ab sofort einmal pro Woche

Mit der neuesten Version von Kali Linux werden fertige ISO Dateien wöchentlich aktualisiert.
Ein ausführliches Nachladen neuer Pakete wird somit in Zukunft flachfallen.

kali-linux-kde

Zusätzlich wurde an der Oberfläche getüftelt und mit KDE, MATE, LXDE, e17, and Xfce Builds eine ganze Reihe neuer Desktop Umgebungen eingeführt.

Download


Parrot Security - forensisches Plappermaul

Zum Schluss der News ein weiteres neues System. Parrot Security basiert auf Debian Jessie und hat sich unter anderem auf Cloud Pentesting spezialisiert und bietet eine Server, Cloud VPS Edition an. Unabhängig davon lässt es sich mit 8-16GB Festplattenkapazität und 512GB RAM auch installieren und bietet mit der individuellen MATE Oberfläche einen ersten Blickfang. 

Parrot-Security

Dazu gesellen sich weitere der GUI angepasste Anti Forensik Tools, GPG und Crypto Programme. Für den Geheimniskrämer wurden Tor/I2P, AnonSurf und weitere Anonymisier vorinstalliert.
Die üblichen Verdächtigen der IT Forensik Tools wie Metasploit oder OpenVAS sind ebenso an Bord und runden eine Sammlung von über 700 Programmen gekonnt ab.
Der volle Feature Überblick ist vor Ort einsehbar, die neueste Version hat den Codename Defcon und trägt die Versionsnummer 3.1.

Fazit

ParrotSec sieht nicht nur schick aus, sondern bietet sicherheitsbewussten ITlern ein Gros an Applikationen zu dieser Thematik

 

Download

 


Übersicht Sicherheits Distributionen


Gesamtübersicht der bereits erwähnten Systeme.

 

Name Version Tools Besonderheiten Basis GUI
Autopsy 4.0 ??? The Sleuth Kit Windows  
BackBox 4.6 70+ eigenes Repo Ubuntu Xfce
BackTrack 5 300+ out of date Ubuntu Gnome
BlackArchLinux 2016.04.28 1500+ Rolling Release ArchLinux Gnome
CaINE 5 100+ WinUFO Ubuntu Mate
DEFT Zero RC1 250+ Dart2 Lubuntu Lxde
Kali Linux 2016.2 300+ ARM fähig Debian Multi
LionSec 2016 ???   Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 24 ??? Server integriert Fedora  
NetSecLOS 6.0 50+   OpenSuse Lxde
Paladin 6.0 30+   Ubuntu  
Parott Security 3.1 700+ Cloud fähig Debian Jessie MATE
Pentoo 2015.0 RC5 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  

Ubuntu - immer Up2date mit unbeaufsichtigten Updates

Die Woche war lang und das Wochenende hat schon einen Fuß in der Tür. 
Dennoch ein kleiner Tipp zum Freitag.

Damit ein System auf einem aktuellen Stand bleibt und keine Sicherheitslücken aufweist, müssen regelmäßig Updates installiert werden.
Dies kann händisch via apt-get upgrade oder mit Orchestrierungs- Lösungen alà Landscape (siehe Artikel), Ansible und Co gelöst werden.


Ubuntu selbst bringt allerdings ebenfalls Funktionen mit, ein System mit den neuesten Updates zu versorgen.
Bei kleinen Netzwerken mit drei bis vier Ubuntu Systemen, bietet sich diese Möglichkeit durchaus an, denn Landscape und Co wären hier zuviel des Guten.

Unattended Updates unter Ubuntu nutzen

Das Paket "unattended-upgrades" ermöglicht die automatische Installation von Updatepaketen.
Aber nicht nur die Installation, sondern auch Neustarts und Prioritäten von Updatepaketen können darüber definiert werden.

unattended-updates-einrichtungBevor das Paktet konfiguriert werden kann, sollte es installiert werden.

sudo apt-get install unattended-upgrades apt-listchanges

Nach der Installation wird eine Config Datei benötigt. Diese kann händisch angelegt werden oder automatisch mit

sudo dpkg-reconfigure -plow unattended-upgrades

Creating config file /etc/apt/apt.conf.d/20auto-upgrades with new version

angelegt werden. Hier erscheint eine zusätzliche Abfrage auf dem Bildschirm (siehe Screenshot).

Bei einem Blick auf die nun generierte Datei finden sich ein paar Einträge.

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

 
Hier muss eigentlich Nichts weiter angepasst werden.
Nutzer die bereits apticron in Verwendung haben, könnten die erste Zeile theoretisch entfernen, da über dieses Paket bereits die Listen regelmäßig aktualisiert werden

Konfiguration von unbeaufsichtigten Updates

Jedoch wird eine weitere Datei angelegt, in der diverse Einstellungen gemacht werden sollten.

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

  • In diesem Beispiel werden nur Sicherheitsupdates automatisch installiert.
  • Danach wird eine Mail an root versendet.
  • Im Fehlerfall wird ebenfalls eine Nachricht versendet (der Punkt // Unattended-Upgrade::MailOnlyOnError "true"; sollte auskommentiert bleiben).
  • Nicht mehr verwendete Abhängigkeiten werden mit diesen Einstellungen automatisch entfernt.
  • Um den automatischen Updatevorgang abzuschließen, wird das System um 3:30 Uhr neu gestartet.

Alle aktiven Punkte sind fett markiert.



// Automatically upgrade packages from these (origin:archive) pairs
Unattended-Upgrade::Allowed-Origins {

"${distro_id}:${distro_codename}-security";

//      "${distro_id}:${distro_codename}-updates";
//      "${distro_id}:${distro_codename}-proposed";
//      "${distro_id}:${distro_codename}-backports";

};


// This option allows you to control if on a unclean dpkg exit
// unattended-upgrades will automatically run
//   dpkg --force-confold --configure -a
// The default is true, to ensure updates keep getting installed
//Unattended-Upgrade::AutoFixInterruptedDpkg "false";

// Split the upgrade into the smallest possible chunks so that
// they can be interrupted with SIGUSR1. This makes the upgrade
// a bit slower but it has the benefit that shutdown while a upgrade
// is running is possible (with a small delay)
//Unattended-Upgrade::MinimalSteps "true";

// Install all unattended-upgrades when the machine is shuting down
// instead of doing it in the background while the machine is running
// This will (obviously) make shutdown slower
//Unattended-Upgrade::InstallOnShutdown "true";

// Send email to this address for problems or packages upgrades
// If empty or unset then no email is sent, make sure that you
// have a working mail setup on your system. A package that provides
// 'mailx' must be installed. E.g. "user@example.com"

Unattended-Upgrade::Mail "root";

// Set this value to "true" to get emails only on errors. Default
// is to always send a mail if Unattended-Upgrade::Mail is set
// Unattended-Upgrade::MailOnlyOnError "true";

// Do automatic removal of new unused dependencies after the upgrade
// (equivalent to apt-get autoremove)

Unattended-Upgrade::Remove-Unused-Dependencies "true";

// Automatically reboot *WITHOUT CONFIRMATION*
//  if the file /var/run/reboot-required is found after the upgrade
//Unattended-Upgrade::Automatic-Reboot "false";

// If automatic reboot is enabled and needed, reboot at the specific
// time instead of immediately
//  Default: "now"

Unattended-Upgrade::Automatic-Reboot-Time "03:30";

// Use apt bandwidth limit feature, this example limits the download
// speed to 70kb/sec
//Acquire::http::Dl-Limit "70";

Viel mehr muss nicht konfiguriert werden. Sollte ein Update gelaufen sein, wird automatisch eine E-Mail versendet, welche über die gelaufenen Updates oder entstandene Fehler informiert.

unattended-updates-linux


 

Security Distros: LionSec Linux 5, Pentoo RC5 und NST Version 24-7977 veröffentlicht

Ein kurzer Einschub zu neuen Releases im Security Distributions Sektor.


Pentoo 2015.0 RC5

Pünktlich zum Start der DEF CON 2016 wurde Pentoo 2015.0 RC5 veröffentlicht. Das finale Release lässt somit weiterhin auf sich warten.

Dies ist aber nicht weiter tragisch, denn die vorhandene Version läuft recht stabil.

pentoo

Die größte Änderungen dürften die neuen Benutzerrechte darstellen. Anders als bei anderen Distributionen hat der Standardnutzer "pentoo" nun keine root Rechte mehr nach dem Booten. 

Wie von Ubuntu bekannt, wird für Befehle  aus den Verzeichnissen /sbin or /usr/sbin "sudo" benötigt.

Zusätzlich wurden alle Pakete auf Vordermann gebracht.

Die laaange Liste aller integrierten Tools findet ihr auf der Entwicklerseite von Pentoo.

pentoo download


Network Security Toolkit 24 SVN:7977

Die neueste Version des Network Security Toolkit (siehe Artikel) ist bereits im Juli veröffentlicht worden, soll hier aber nicht unerwähnt bleiben.

nst-gui

(alter Screenshot)

NST ist inzwischen nur noch als 64bit Variante erhältlich. Mit dem Update wurde ein Multi-Traceroute (MTR) Tool eingebunden. 

Die unter ntop bekannte Deep Packet Inspection kann nun als 3D Grafik ausgewertet werden.

Mit SSLyze ist inzwischen ein guter SSL Sicherheits Scanner mit an Bord (siehe Artikel)

NST

LionSec Linux 5

Neu im Bunde der Sicherheits Distributionen ist LionSec Linux.

Aktuell unter der Version 5.0 verfügbar handelt es sich um eine Ubuntu basierte Distributionen, welche eine breite Sammlung an Tools für Computer Forensik, Penetrations Tests  und Wlan Analyse mitbringt. Die Oberfläche macht laut Screenshots einen recht schicken Eindruck.

LionSec-Linux

Ähnlich wie Tails hat das System einen anonymen Modus, welcher das verschleierte Surfen erlaubt.

Ich hatte noch keine Zeit das System genauer unter die Lupe zu nehmen, darum verweise ich hier auf das youtube Video.

LionSec hat folgenden Systemvoraussetzungen

  • 1.7 GHz processor (for example Intel Celeron) or better.
  • 2.0 GB RAM (system memory).
  • 8 GB of free hard drive space for installation.
  • Either a CD/DVD drive or a USB port for the installer media.
  • Internet access is helpful (for installing updates during the installation process

LionSec


Überblick forensische Sicherheitsdistributionen

Eine Gesamtübersicht der bereits erwähnten Systeme.

Name Version Tools Besonderheiten Basis GUI
Autopsy 4.0 ??? The Sleuth Kit Windows  
BackBox 4.6 70+ eigenes Repo Ubuntu Xfce
BackTrack 5 300+ out of date Ubuntu Gnome
CaINE 5 100+ WinUFO Ubuntu Mate
DEFT Zero RC1 250+ Dart2 Lubuntu Lxde
Kali Linux 2016 300+ ARM fähig Debian Gnome
LionSec 2016 ???   Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 24 ??? Server integriert Fedora  
NetSecLOS 6.0 50+   OpenSuse Lxde
Paladin 6.0 30+   Ubuntu  
Pentoo 2015.0 RC5 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  

SANS Security Poster - Infografiken zu Pen Testing, SWAT und Windows Forensik

Die Sommerpause neigt sich langsam den Ende zu, darum hier ein kleiner Hinweis auf die PDF Poster vom SANS Institut (SysAdmin, Networking und Security).

Die Genossenschaft hat mit SIFT (SANS Investigative Forensic Toolkit) nicht nur eine eigene Security Distribution im Programm, sondern veröffentlich auch regelmäßig Übersichten in Form von PDF Postern. Hier werden verschiedene Themen Rund um IT Sicherheit behandelt.

Das Poster Securing Web Application Technologies (SWAT) listet beispielsweise die wichtigsten Schritte zum Absichern einer Web Anwendung auf.

swat

Windows Forensiker werden mit der Infografik Windows Forensic Analysis an die richtige Vorgehensweise zum Aufspüren von Malware und dem Sichern von Beweisen herangeführt.

Forensik

Ebenfalls interessant ist der Überblick verschiedener Web Frameworks, Techniken und Tools, welche sich ganz der Sicherheit von Anwendungen widmen und die Möglichkeit bieten das eigene Wissen zu verbessern.

pen-test-web-apps

In der schnelllebigen IT Zeit sind sicherlich nicht mehr alle Informationen up2date, dennoch bieten sich einige Poster für die Pinnwand im Büro an, da sie einen guten Überblick bieten.

Die komplette Auswahl findet ihr auf der SANS Seite.

SANS