Sammeln von OSINT für die Bedrohungssuche

May 16 2023
Hallo, Cyber-Enthusiasten! Willkommen zurück bei der OSINT-Serie zur Bedrohungsjagd. Im ersten Artikel habe ich Ihnen einen Überblick über OSINT und seine Bedeutung bei der Bedrohungsjagd gegeben.

Hallo, Cyber-Enthusiasten! Willkommen zurück bei der OSINT-Serie zur Bedrohungsjagd. Im ersten Artikel habe ich Ihnen einen Überblick über OSINT und seine Bedeutung bei der Bedrohungsjagd gegeben. Heute konzentrieren wir uns auf Tools und Techniken, die während des OSINT-Erfassungsprozesses verwendet werden, und konzentrieren uns dabei auf die Bedrohungssuche.

Hier ist ein kurzer Überblick darüber, was wir in diesem Artikel besprechen werden.

  1. Suchmaschinen
  2. Social-Media-Plattformen
  3. Öffentliche Aufzeichnungen, Berichte und Foren
  4. OSINT-Tools

Suchmaschinen

Suchmaschinen gehören zu den gebräuchlichsten und leistungsstärksten Tools zum Sammeln von OSINT. Sehen wir uns einige Techniken an, mit denen Sie bei der Bedrohungssuche mithilfe von Suchmaschinen bessere Ergebnisse erzielen können:

Verwenden Sie Google Dorks:

Google Dorking ist eine Technik, die jeder Cybersicherheitsexperte kennen sollte. Sie können sich Google Dorks als erweiterte Suchoperatoren vorstellen, die Ihnen dabei helfen, bestimmte Informationen zu finden, die sonst möglicherweise verborgen oder schwer zu finden wären.

Nachfolgend finden Sie einige Beispiele dafür, wie Sie Dorks für die Bedrohungssuche nutzen können:

  1. Entdecken Sie anfällige Server: Sie können Server mit bekannten Schwachstellen identifizieren, indem Sie nach bestimmten Schlüsselwörtern suchen. Sie könnten beispielsweise einen Google Dork wie inurl:“php?=id1“ verwenden , um Webseiten zu finden, die potenzielle SQL-Injection-Schwachstellen (SQLi) enthalten.
  2. Offengelegte sensible Informationen finden: Google Dorks kann verwendet werden, um sensible Informationen zu finden, die nicht online sein sollten, wie z. B. öffentliche Dokumente, die Passwörter oder private Schlüssel enthalten. Sie könnten einen Dork wie filetype:pdf „confidential“ verwenden , um vertrauliche PDFs zu finden, die öffentlich zugänglich sind.
  3. Überwachen Sie Datenlecks: Sie können Google Dorks verwenden, um nach geleakten Informationen über Ihre Organisation zu suchen. Sie können zum Beispiel einen Idioten wie „Firmenname“, „vertraulich“ site:pastebin.com verwenden , um vertrauliche Dateien Ihres Unternehmens zu finden, die auf Pastebin hochgeladen wurden.
  4. Verunstaltung erkennen: Cyberkriminelle verunstalten Websites häufig mit bestimmten Phrasen oder Tags. Zum Beispiel könnten wir einen Dork-ähnlichen Intext: „Hacked by“ site:yourwebsite.com verwenden , um festzustellen, ob unsere Organisation unkenntlich gemacht wurde.
  • Website: um innerhalb einer bestimmten Website zu suchen.
  • intext : um nach bestimmten Schlüsselwörtern innerhalb einer Seite zu suchen
  • Dateityp: um nach bestimmten Dateitypen zu suchen (PDF, Excel, Word).
  • ext: zum Abrufen von Dateien mit einer bestimmten Erweiterung (docx, txt, log, bk).
  • inurl: um nach URLs zu suchen, die eine bestimmte Zeichenfolge enthalten.
  • intitle: um nach Seiten zu suchen, die einen bestimmten Text im Seitentitel verwenden.
  • Cache: um die zwischengespeicherte (ältere) Version einer Website abzurufen.
  • - (Minus): um bestimmte Ergebnisse von der Suche auszuschließen.

Kombinieren Sie verschiedene Dorks, um Ihre Ergebnisse zu verbessern:

Durch die Kombination verschiedener Idioten werden bessere und relevantere Ergebnisse erzielt. Wir möchten PDF-Dateien finden, die auf der Website unserer Organisation gehostet werden. In diesem Fall könnten wir die folgende Dorks-Website verwenden : Ihre Website.com, Dateityp: PDF.

Nutzen Sie mehrere Suchmaschinen:

Obwohl Dorking im Allgemeinen mit Google in Verbindung gebracht wird, verfügen verschiedene Suchmaschinen über ihre eigenen erweiterten Suchoperatoren, die möglicherweise unterschiedliche Ergebnisse liefern. Daher ist es eine gute Idee, mehrere Suchmaschinen auszuprobieren, um umfassendere Ergebnisse zu erhalten.

Nutzen Sie Tools wie Google Alerts:

Sie können Google Alerts erstellen, um Sie zu benachrichtigen, wenn neue Suchergebnisse für bestimmte Schlüsselwörter oder Phrasen gefunden werden, was die Überwachung auf neue Bedrohungen erleichtert.

Lassen Sie uns beispielsweise einen Google Alert erstellen, um mögliche Verunstaltungen zu überwachen.

A. Gehe zuhttps://www.google.com/alerts

B. Geben Sie Ihre Schlüsselwörter oder Dorks in die Suchleiste ein. Ich verwende intext: „Hacked by“ site:yourwebsite.com

C. Sie können Ihre Benachrichtigungen anpassen, indem Sie auf die Schaltfläche „Optionen anzeigen“ klicken.

D. Sobald Sie fertig sind, fügen Sie Ihre E-Mail-Adresse hinzu und klicken Sie auf Benachrichtigung erstellen.

Social-Media-Plattformen

Twitter : Twitter ist eine Brutstätte für Cybersicherheitsdiskussionen. Cyberkriminelle prahlen hier oft mit ihren Hacks oder teilen Datenlecks. Sie können wertvolle Informationen finden, indem Sie bestimmte Hashtags, Konten oder Schlüsselwörter überwachen, die sich auf Ihre Organisation beziehen.

Tipp: Richten Sie Benachrichtigungen für Begriffe wie „YourCompany-Hack“, „YourCompany-Datenleck“ oder bestimmte Hashtags ein, die häufig von Hackern verwendet werden, wie #OpYourCompany.

Reddit: Subreddits wie r/netsec , r/hacking , r/darknet und r/cybersecurity sind nur einige der Subreddits, in denen Themen im Zusammenhang mit Cybersicherheit diskutiert werden. Diese Kanäle können genutzt werden, um Frühindikatoren für Bedrohungen oder Verstöße bereitzustellen.

Tipp: Überwachen Sie Beiträge, in denen Ihre Organisation oder Produkte erwähnt werden, und abonnieren Sie Subreddits zum Thema Cybersicherheit, um die neuesten Bedrohungen und Trends zu überwachen.

Mastodon : Mastodon hat in den letzten Monaten stark an Relevanz gewonnen und kann auch bei der Bedrohungssuche ein hilfreiches Tool sein.

Tipp: Treten Sie relevanten „Instanzen“ im Zusammenhang mit Technologie und Cybersicherheit bei, wie z. B. ioc.exchange und infosec.exchange , um über die neuesten Nachrichten auf dem Laufenden zu bleiben. Sie können auch die erweiterten Suchoptionen von Mastodon verwenden, um nach Erwähnungen Ihrer Organisation zu suchen.

LinkedIn: LinkedIn ist eine professionelle Netzwerkseite, kann aber auch Einblicke in potenzielle Bedrohungen geben. Beispielsweise könnte ein plötzlicher Zustrom von Anfragen von Personen aus derselben Branche auf einen bevorstehenden Spear-Phishing-Versuch hinweisen.

Tipp: Überwachen Sie die Konten Ihrer Mitarbeiter auf ungewöhnliche Verbindungsanfragen oder Nachrichten, die ein Frühindikator für einen gezielten Angriff sein könnten.

Denken Sie daran, dass soziale Medien Ihnen zwar einige wirklich nützliche Informationen liefern können, sie aber nur ein Teil Ihres Puzzles zur Bedrohungssuche sind.

Andere Quellen von OSINT

Öffentliche Aufzeichnungen:

Öffentlich verfügbare Daten wie Gerichtsakten, Unternehmensunterlagen und Patentanmeldungen können Einblicke in die Infrastruktur, Partnerschaften und bevorstehende Projekte eines Unternehmens geben.

Wenn ein Unternehmen beispielsweise ein Patent für ein neues Tool angemeldet hat, könnten Kriminelle die in dem Patent enthaltenen Informationen nutzen, um Phishing-Kampagnen zu erstellen, die gezielt auf Mitarbeiter des Unternehmens abzielen und diese so effektiver an sensible Informationen gelangen oder sich unbefugten Zugriff verschaffen.

Auch wenn die Verfügbarkeit bestimmter Datentypen von Land zu Land unterschiedlich ist, können die zugänglichen Informationen Cyberkriminellen dennoch einen Vorteil verschaffen. Unternehmen müssen sich der öffentlich zugänglichen Informationen bewusst sein, Maßnahmen zum Schutz ihrer sensiblen Daten ergreifen und ihre Mitarbeiter über die Bedeutung der Cybersicherheit aufklären.

Regierungsberichte:

Regierungsbehörden veröffentlichen häufig Berichte über Cybersicherheitsbedrohungen und -verstöße. Diese Berichte können Informationen zu neuen Schwachstellen, Hacking-Trends und Bedrohungsakteurgruppen liefern. Eine meiner bevorzugten Quellen für diese Berichte ist die US Cybersecurity and Infrastructure Security Agency (CISA) .

Online-Foren:

Untergrundforen und Darknet-Märkte sind Orte, an denen Bedrohungsakteure ihre Taktiken diskutieren, Tools austauschen oder gestohlene Daten verkaufen können.

Die Überwachung dieser Plattformen kann Frühwarnungen vor potenziellen Bedrohungen liefern. Auch Websites wie GitHub können hilfreich sein, da sie möglicherweise öffentlich zugänglichen Code hosten, der bestimmte Schwachstellen ausnutzt.

Berücksichtigen Sie die ethischen Implikationen und potenziellen Risiken, die mit dem Zugriff auf und der Interaktion mit Hacker-Foren oder Darknet-Märkten verbunden sind.

Tools zum Sammeln von OSINT

Es stehen viele Tools zum Sammeln und Analysieren von OSINT zur Verfügung. Hier nur einige Beispiele:

Maltego : Maltego ist ein leistungsstarkes OSINT-Tool für Data Mining und Linkanalyse. Es eignet sich hervorragend zur Visualisierung komplexer Netzwerke und Beziehungen zwischen Entitäten wie Personen, Unternehmen, Domänen, Websites, IP-Adressen usw. Eine seiner leistungsstärksten Funktionen ist die Fähigkeit, Daten aus mehreren Quellen mit kleinen Codestücken namens Transforms zu sammeln.

Hier ist ein Artikel über die Verwendung von Maltego für Angriffsflächenbewertungen .

Spiderfoot : Spiderfoot ist ein automatisiertes Aufklärungstool, das Informationen über IPs, Domänennamen, E-Mail-Adressen und mehr aus Hunderten von OSINT-Quellen sammeln kann.

Mit Spiderfoot können Sie automatisch Informationen über potenzielle Bedrohungsakteure oder deren Infrastruktur sammeln.

Shodan : Shodan kann bestimmte mit dem Internet verbundene Geräte finden, darunter Server, Router, Webcams und sogar intelligente Geräte.

Mit Shodan können Sie ungeschützte oder anfällige Geräte finden, die von Bedrohungsakteuren ausgenutzt werden könnten. Es kann auch verwendet werden, um den digitalen Fußabdruck Ihres Unternehmens zu untersuchen und alle exponierten Vermögenswerte zu identifizieren.

AlienVault OTX: AlienVault OTX ist eine Plattform zum Austausch von Bedrohungsinformationen, auf der Forscher und Sicherheitsexperten ihre Erkenntnisse über potenzielle Bedrohungen, Angriffe und Schwachstellen austauschen. Es bietet eine kollaborative Umgebung, in der Benutzer „Impulse“ oder Sammlungen von Indicators of Compromise (IoCs) im Zusammenhang mit bestimmten Bedrohungen erstellen können.

Mit AlienVault können Sie über die neuesten Bedrohungsinformationen auf dem Laufenden bleiben und die bereitgestellten IoCs (wie IP-Adressen, Domänen, URLs, Datei-Hashes usw.) verwenden, um nach Bedrohungen in Ihrer Umgebung zu suchen.

TweetDeck: TweetDeck ist eine Dashboard-Anwendung zur Verwaltung von Twitter-Konten, kann aber auch ein leistungsstarkes Tool zur Echtzeitverfolgung von Schlüsselwörtern, Hashtags oder Konten sein.

Mit TweetDeck können Sie Diskussionen im Zusammenhang mit Cybersicherheitsbedrohungen, Datenlecks oder Hackeraktivitäten in Echtzeit überwachen. Unten sehen Sie ein Beispiel dafür, wie mein TweetDeck jetzt aussieht.

Abschluss

Das Sammeln von OSINT ist eine entscheidende Komponente der Bedrohungssuche. Mithilfe von Suchmaschinen, Social-Media-Plattformen und Tools wie Maltego und SpiderFoot können Sie die Daten sammeln, die Sie zur Identifizierung potenzieller Bedrohungen und Schwachstellen benötigen.

Seien Sie gespannt auf den nächsten Artikel unserer Serie über OSINT für die Bedrohungssuche, in dem wir untersuchen, wie die in diesem Artikel gesammelten OSINT-Daten analysiert und interpretiert werden.

Viel Spaß beim OSINTing!