Malware Katanası: Tsurugi Linux
Nedir Bu Tsurugi Linux?
Tsurugi Linux, yeni bir DFIR İşletim Sistemi geliştirme fikrini bir araya getiren 4 meraklı Backtrack ve Deft kullanıcısı tarafından geliştirilmiştir. Dijital Adli Tıp ve Olaylara Müdahale amaçları için geliştirilen Açık Kaynaklı bir Linux distrosudur. İçerisinde malware analizinden OSINT’e kadar her çeşit araştırma ve inceleme aracı barındırması ve düşük sistem kaynakları kullanmasıyla tercih edilebilir bir sistemdir.
Türleri:
TSURUGI Linux [LAB]- Dijital Adli Analizler için geliştirilen ve içerisinde her türden aracı barındıran ekibin esas distrosudur. 3.9 GB boyutunda ve 64 bitlik bir Ubuntu LTS üzerine kuruludur. Live modda kullanım sunsa da asıl amacı sistemi yüklemek ve laboratuvarınız haline getirmektir.
TSURUGI Acquire- LAB distrosunu küçültmek ve hafifleştirmek için geliştirilen bir sistemdir. Bütün cihazlarla uyum sağlaması için 32 bit olarak geliştirilmiştir. İçerisinde daha az araç bulunmaktadır. 1.1 GB boyutundadır.
Bento- Canlı adli tıp ve olaylara müdahale faaliyetleri için tasarlanmış bir araçtır. 300'den fazla portatif uygulamaya sahiptir ve Bento Windows, Linux ve Macos işletim sisteminde inceleme yapmak için size destek de sunmaktadır. Olaylara ilk müdahaleyi kolaylaştıran kullanışlı otomatik araçlar içermektedir. 460 MB boyutundadır.
Ek Bilgiler:
Mevcut Sürüm- 2018.1
İndirme Linki- https://tsurugi-linux.org/downloads.php
Kurulum Alanı- Kurulum için 30 GB gerekmektedir. Ancak 30 GB’tan yüksek boyutlar ayırmanız işlerinizi kolaylaştıracaktır.
Bellek- 1–4 GB arası hafıza sistemi yormadan çalışması için yeterlidir.
Mevcut Bazı Araçlar:
Data Recovery — catfish, DDRescure, ext3grep, photorec, safecopy, myrescue, ext4magic, foremost…
Memory Forensics — aeskeyfind, volatility, vshot, swap_digger, recall, pdgmail, evolve, rsakeyfind, damn…
Malware Analyze — Binary, JavaScript, JAVA, Flash ve PDF analizleri için bir çok araç içeriyor. Ayrıca, Firejail Sandbox, Debugger, XOR ile ilgili araçları ve bampfdetect, phpmalwarefinder, rkhunter, yara, vtTool, udicli, chrootkit gibi tarayıcılar da mevcuttur. Bellek ve Office dosyalarının analizi ile ilgili araçlar da vardır.
Imaging — dc3dd , ddrescue, esximager, ewfacquire, ftkimager, cyclone ve diğer AFF, EWF, RAW formatları toolları.
Hashing- hashdeep, md5sum, sha1sum, sha256sum, sha512sum
Mount- affuse, ewfmount, fusemount, xmount, apfs-dump, veracrypt ve Bitlocker, Shadow Copy gibi araçlar.
Timeline Analysis- The Sleuth Kit, PLASO, pinfo, psteal, Timesketch, yarp-timeline…
Artifact Analysis — Windows, Mac, BootCode, Browser, Email, Dosyalar, Dosya Sistemleri, Google Takeout, Jump list, Metadata, P2P, Çöp dosyaları ve Registry için araçlar.
Password Recovery- aircrack-ng, dsniff, XHydra, hashcat,cupp, John the Ripper, pdfcrack, BEviewer…
Network Analysis- nmap, scapy, maltrail sensor, hping3, arp-scan, whois, torify, masscan airmon-ng, airdump-ng, kismet,Wireshark, tcpdump, Ettercap, driftnet, Websnort…
Picture Analysis- exiftool, Openstego, steghide, jpeg_extract, mat, zsteg…
Mobile Forensics — adb, apktool, fastboot, systrace, dmtracedump, apddump, iosbackupexaminer, whapa, whagodri, Guasap_Forensic, SQLite…
CryptoCurrency — BTCscan, BitAddress, Coinbin, electrum, keyhunter, btcrecover, bitcoin-tool, bruteforce-wallet…
Tüm bunların yanında, Tsurugi Linux, OSINT için “Osint Switcher” adlı bir mod bulundurmaktadır. Osint analizleri için birçok aracı da içerisinde barındırmaktadır.
Sistemi bu arayüze geçirdikten sonra malware analizi ve adli analiz araçlarının çoğunu gizleyerek Osint’e yönelik ortamı sizlere sunmaktadır.
İçerisinde OSINT Browser, TOR Browser, Maltego, tweets_analyzer, youtube-dl, reconcat, InstaLooter, creepy gibi bir çok Osint aracı mevcuttur.
Sadece analiz için geliştirilen bir sistem olması günlük kullanımdan uzak olacağı için Libre Office, Mozilla Firefox, KeepNote, VLC Media Player gibi uygulamalar da içerisinde yüklü gelmektedir.
Sonuç:
Dijital Adli Tıp ve Olay Müdahale Amaçları için mükemmel bir distrodur. İçerisinde yüzlerce kullanışlı aracı bulunduran tek bir platform olması ve hafif olması bu işler için kendisini eşsiz kılıyor.
Analizciler için dinamik analiz, bu distro için bir handikap olabilir ancak bu distronun toolset’lerin içerisinde bulunması önerilmektedir.
Tsurugi de nedir derseniz.
Tsurugi (剣), eski Japonya keşişleri tarafından kullanılan efsanevi bir Japon çift kanatlı kılıcıdır.
Kaynaklar:
https://tsurugi-linux.org/index.php
Geliştiriciler — https://tsurugi-linux.org/about_us.php
