Tutorial: Usando a máquina virtual Buscador para conduzir investigações online

Para qualquer pessoa que esteja conduzindo uma investigação usando informações open source, um balanceamento entre ferramentas poderosas e controles de privacidade são extremamente necessários. A máquina virtual (VM) Buscador é uma máquina completa e simplificada que carrega consigo várias ferramentas OSINT úteis para buscas online, além de ser facilmente configurada via VirtualBox.

Criada pelos experts no assunto Mike Bazzell e David Westcott, sua proposta é trazer as ferramentas OSINT mais eficazes e scripts customizados utilizados por eles mesmos e outros investigadores em uma única plataforma.

Neste tutorial, vamos mostrar como usar as ferramentas inclusas mais úteis do Buscador e coletar dados.

O que será necessário

Para poder acompanhar o passo-a-passo, você deverá ter instalado a versão mais recente do VirtualBox, assim como seu pacote de extensão (para os downloads, clique aqui). Além disso, temos que ter também a versão mais recente da VM Buscador (para download da VM, clique aqui). Após instalado o VirtualBox e suas extensões, devemos configurar a VM.

Passo 1: Importando e configurando o Appliance Virtual

Para começar, devemos importar o appliance e ajustar suas configurações. Abra a VirtualBox, no menu, clique em “Arquivo” e depois “Importar Appliance” para selecionar o arquivo Buscador2VIRTUALBOX.ova que você fez download anteriormente. Depois, selecione “Continuar”.

Clique em “Importar” para carregar a VM

O próximo passo é clicar em “Configurações”, e na aba “Geral”, renomear a VM Buscador para algo que você vá se lembrar. Dentro de “Avançado”, troque “Área de transferência compartilhada” por “Bi-direcional” para permitir comandos de copiar e colar entre o host e os convidados do sistema.

Na aba “Sistema”, dentro de “Placa-mãe”, adicione metade do total de memória RAM do sistema para a maquina virtual. Depois, clique na aba “Monitor” e depois “Tela” para aumentar a Memória de Vídeo para pelo menos 128MB, permitindo que o vídeo e outras evidencias digitais sejam exibidas apropriadamente. A seguir, clique na aba “Armazenamento”, verifique se a parte da controladora: IDE com o ícone de disco está “Vazia”, se não estiver selecione a opção “Deixar vazia”.

Finalmente, clique em “Pastas Compartilhadas” e clique no ícone com a pasta + para selecionar uma pasta que será utilizada para transferir arquivos da sua VM para o seu usuário, depois de selecionada clique em “Montar Automaticamente”.

Agora você está apto a executar o Buscador pela primeira vez. Clique “OK” para salvar as configurações, depois selecione a VM Buscador da sua lista e inicie a máquina.

Passo 2: Executando Buscador pela primeira vez

Depois que o Buscador iniciar, você vai se deparar com uma tela de login com o usuário osint, a senha de acesso é osint.

Depois de conectar é importante inserir os pacotes adicionais de convidados. Para isso, clique no topo aonde está escrito “Dispositivos”, e depois “Inserir imagem dos adicionais para convidado”. Não a execute automaticamente, e quando for solicitada sua execução, cancele. Crie uma pasta na área de trabalho com o nome “vbox” e copie e cole todo o conteúdo ISO e cole nela. Depois, abra o terminal da maquina “Tilix” e escreva os seguintes comandos:

cd Desktop/vbox
chmod +x *.sh
./autorun.sh (insira a senha quando solicitado)

Permita que a imagem seja instalada e reinicie sua máquina com o comando:

sudo reboot

Após inicializar novamente, no terminal, digite:

sudo adduser osint vboxsf

Reinicie novamente e pronto, agora você tem acesso a um diretório compartilhado aonde você pode salvar suas evidências no host.

Passo 3: Usando theHarvest e EyeWitness para coleta de dados

Para este tutorial, utilizaremos a ferramenta theHarvest, usada para capturar e-mails, subdomínios, hosts, nome de funcionários, portas abertas, entre outros, e a ferramenta EyeWitness, que captura screenshots de sites, vê serviços RDP, servidores VNC abertos, entre várias outras opções. Isso tudo da forma mais simples possível.

theHarvest

Para iniciar o theHarvest, busque na barra de ferramentas lateral por “Domain Interact” e selecione “TheHarvest”

Ele vai começar a fazer a colheita de dados e no final, vai mostrar o resultado em um arquivo html.

Realizado a colheita de dados, podemos ver que o arquivo HTML mostra os emails associados naquele domínio, hosts e URLs. Dados que podem ser usados para ajudar na solução da investigação.

EyeWitness

Para iniciar o EyeWitness, repita os mesmos passos do theHarvest selecionando agora a respectiva ferramenta.

Será solicitada a URL do site que deseja obter as informações e novamente o resultado será disponibilizado em um arquivo HTML.

Podemos ver no report feito pela ferramenta um snapshot do site, aonde é possível coletar informações úteis como uma “full screenshot” do momento atual do site, o título da página, se o site possui ou não o cross-site-script protection (x-xss-protection), o servidor do domínio, entre vários outros.

Conclusão

A maquina virtual Buscador é uma ferramenta poderosa e útil para ajudá-lo a reunir informações na condução de uma investigação.

Ao longo do post, vimos como configurar a máquina e de como usar duas ferramentas poderosas para a exploração de dados, muito útil para as tarefas diárias dos investigadores.