Recopilación de OSINT para la caza de amenazas
¡Hola, entusiastas cibernéticos! Bienvenido de nuevo a la serie OSINT para la caza de amenazas. En el primer artículo , le di una descripción general de OSINT y su importancia en la caza de amenazas. Hoy nos centraremos en las herramientas y técnicas utilizadas durante el proceso de recopilación de OSINT, centrándonos en la caza de amenazas.
Aquí hay una descripción general rápida de lo que discutiremos en este artículo.
- Los motores de búsqueda
- Plataformas de redes sociales
- Registros públicos, informes y foros
- Herramientas OSINT
Los motores de búsqueda
Los motores de búsqueda se encuentran entre las herramientas más comunes y poderosas para recopilar OSINT. Repasemos algunas técnicas que puede usar para obtener mejores resultados al usar motores de búsqueda para la caza de amenazas:
Utilice Google Dorks:
Google Dorking es una técnica que todo profesional de la ciberseguridad debería conocer. Puede pensar en Google Dorks como operadores de búsqueda avanzada que lo ayudan a encontrar información específica que de otro modo podría estar oculta o ser difícil de encontrar.
A continuación se muestran algunos ejemplos de cómo aprovechar Dorks para la caza de amenazas:
- Descubrir servidores vulnerables: puede identificar servidores con vulnerabilidades conocidas buscando palabras clave específicas. Por ejemplo, podría usar un Google Dork como inurl:”php?=id1" para encontrar páginas web que contengan posibles vulnerabilidades de inyección SQL (SQLi).
- Encuentre información confidencial expuesta: Google Dorks se puede usar para encontrar información confidencial que no debería estar en línea, como documentos públicos que contienen contraseñas o claves privadas. Puede usar un tipo de archivo tipo Dork: pdf "confidencial" para encontrar archivos PDF confidenciales que sean de acceso público.
- Supervise las fugas de datos: puede usar Google Dorks para buscar información filtrada sobre su organización. Por ejemplo, puede usar un sitio "confidencial" como "Nombre de la empresa": pastebin.com para encontrar archivos confidenciales de su empresa cargados en Pastebin.
- Detectar desfiguración: los ciberdelincuentes suelen desfigurar sitios web con frases o etiquetas específicas. Por ejemplo, podríamos usar un texto como Dork: "Hackeado por" sitio: su sitio web. com para determinar si nuestra organización ha sido desfigurada.
- sitio: para buscar dentro de un sitio web específico.
- intext : para buscar palabras clave específicas dentro de una página
- tipo de archivo: para buscar tipos de archivos particulares (PDF, Excel, Word).
- ext: para recuperar archivos con una extensión específica (docx, txt, log, bk).
- inurl: para buscar URLs que contengan una secuencia específica de caracteres.
- intitle: para buscar páginas usando un texto particular en el título de la página.
- caché: para recuperar la versión en caché (más antigua) de un sitio web.
- - (menos): para excluir resultados específicos de la búsqueda.
Combina diferentes Dorks para mejorar tus resultados:
La combinación de diferentes idiotas proporcionará resultados mejores y más relevantes. Queremos encontrar archivos PDF alojados en el sitio web de nuestra organización. En ese caso, podríamos usar el siguiente sitio Dorks: yourwebsite.com tipo de archivo: PDF.
Utilice varios motores de búsqueda:
Aunque Dorking generalmente se asocia con Google, los diferentes motores de búsqueda tienen su propio conjunto de operadores de búsqueda avanzada que pueden proporcionar diferentes resultados, por lo que es una buena idea probar varios motores de búsqueda para obtener resultados más completos.
Usa herramientas como Alertas de Google:
Puede crear alertas de Google para que le notifiquen cuando se encuentren nuevos resultados de búsqueda para palabras clave o frases específicas, lo que facilita la supervisión de nuevas amenazas.
Por ejemplo, vamos a crear una alerta de Google para monitorear posibles desfiguraciones.
a. Ir ahttps://www.google.com/alerts
b. Ingrese sus palabras clave o idiotas en la barra de búsqueda; Usaré intext:”Hackeado por” sitio:yourwebsite.com
C. Puede personalizar sus alertas haciendo clic en el botón "Mostrar opciones".
d. Una vez que esté listo, agregue su dirección de correo electrónico y haga clic en Crear alerta.
Plataformas de redes sociales
Twitter : Twitter es un hervidero de debates sobre ciberseguridad. Los ciberdelincuentes a menudo se jactan de sus ataques o comparten filtraciones de datos aquí. Puede encontrar información valiosa al monitorear hashtags, cuentas o palabras clave específicas relacionadas con su organización.
Sugerencia: configure alertas para términos como "hackeo de su empresa", "fuga de datos de su empresa" o hashtags específicos comúnmente utilizados por piratas informáticos como #OpYourCompany.
Reddit: subreddits como r/netsec , r/hacking , r/darknet y r/cybersecurity son solo algunos de los subreddits donde se tratan temas relacionados con la ciberseguridad. Estos canales se pueden utilizar para proporcionar indicadores tempranos de amenazas o infracciones.
Sugerencia: Supervise las publicaciones que mencionan su organización o productos y suscríbase a subreddits relacionados con la ciberseguridad para monitorear las últimas amenazas y tendencias.
Mastodon : Mastodon ha ganado mucha relevancia en los últimos meses y también puede ser una herramienta útil para la caza de amenazas.
Sugerencia: Únase a "instancias" relevantes relacionadas con la tecnología y la ciberseguridad, como ioc.exchange e infosec.exchange , para mantenerse actualizado con las últimas noticias. También puede utilizar las opciones de búsqueda avanzada de Mastodon para buscar menciones de su organización.
LinkedIn: LinkedIn es un sitio de redes profesionales, pero también puede proporcionar información sobre amenazas potenciales. Por ejemplo, una afluencia repentina de solicitudes de personas en la misma industria podría indicar un intento inminente de phishing.
Sugerencia: Supervise las cuentas de sus empleados en busca de solicitudes de conexión o mensajes inusuales, lo que podría ser un indicador temprano de un ataque dirigido.
Recuerde que si bien las redes sociales pueden brindarle información muy útil, es solo una pieza de su rompecabezas de búsqueda de amenazas.
Otras fuentes de OSINT
Registros Públicos:
Los datos disponibles públicamente, como presentaciones judiciales, registros corporativos y solicitudes de patentes, pueden proporcionar información sobre la infraestructura, las asociaciones y los próximos proyectos de una empresa.
Por ejemplo, si una empresa ha presentado una patente para una nueva herramienta, los delincuentes podrían usar la información de la patente para crear campañas de phishing dirigidas a los empleados de la empresa, haciéndolos más efectivos para obtener información confidencial u obtener acceso no autorizado.
Si bien la disponibilidad de ciertos tipos de datos varía según el país, la información a la que se puede acceder aún puede dar una ventaja a los ciberdelincuentes. Las empresas deben conocer la información disponible públicamente, tomar medidas para proteger sus datos confidenciales y educar a sus empleados sobre la importancia de la ciberseguridad.
Informes gubernamentales:
Las agencias gubernamentales a menudo publican informes sobre amenazas e infracciones de seguridad cibernética. Estos informes pueden proporcionar información sobre nuevas vulnerabilidades, tendencias de piratería y grupos de actores de amenazas. Una de mis fuentes de referencia para estos informes es la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) .
Foros en línea:
Los foros clandestinos y los mercados de la red oscura son lugares donde los actores de amenazas pueden discutir sus tácticas, compartir herramientas o vender datos robados.
El monitoreo de estas plataformas puede proporcionar alertas tempranas de amenazas potenciales. Los sitios web como GitHub también pueden ser útiles, ya que pueden albergar código disponible públicamente que explota vulnerabilidades particulares.
Considere las implicaciones éticas y los riesgos potenciales asociados con el acceso e interacción con foros de piratas informáticos o mercados de darknet.
Herramientas para recopilar OSINT
Hay muchas herramientas disponibles para recopilar y analizar OSINT. Estos son solo algunos ejemplos:
Maltego : Maltego es una poderosa herramienta OSINT para la minería de datos y el análisis de enlaces. Es excelente para visualizar redes complejas y relaciones entre entidades como personas, empresas, dominios, sitios web, direcciones IP, etc. Una de sus características más poderosas es su capacidad para recopilar datos de múltiples fuentes con pequeños fragmentos de código llamados Transforms.
Aquí hay un artículo sobre cómo usar Maltego para evaluaciones de superficie de ataque .
Spiderfoot : Spiderfoot es una herramienta de reconocimiento automatizada que puede recopilar información sobre direcciones IP, nombres de dominio, direcciones de correo electrónico y más de cientos de fuentes OSINT.
Puede usar Spiderfoot para recopilar inteligencia sobre posibles actores de amenazas o su infraestructura automáticamente.
Shodan : Shodan puede encontrar dispositivos específicos conectados a Internet, incluidos servidores, enrutadores, cámaras web e incluso dispositivos inteligentes.
Puede usar Shodan para encontrar dispositivos desprotegidos o vulnerables que los actores de amenazas podrían explotar. También se puede utilizar para investigar la huella digital de su organización e identificar cualquier activo expuesto.
AlienVault OTX: AlienVault OTX es una plataforma de intercambio de inteligencia sobre amenazas en la que investigadores y profesionales de la seguridad comparten sus hallazgos sobre posibles amenazas, ataques y vulnerabilidades. Proporciona un entorno colaborativo donde los usuarios pueden crear "pulsos" o colecciones de Indicadores de Compromiso (IoC) relacionados con amenazas específicas.
Puede usar AlienVault para mantenerse actualizado con la inteligencia de amenazas más reciente y usar los IoC proporcionados (como direcciones IP, dominios, URL, hash de archivos, etc.) para buscar amenazas en su entorno.
TweetDeck: TweetDeck es una aplicación de tablero para administrar cuentas de Twitter, pero también puede ser una herramienta poderosa para el seguimiento en tiempo real de palabras clave, hashtags o cuentas.
Puede usar TweetDeck para monitorear discusiones relacionadas con amenazas de seguridad cibernética, fugas de datos o actividades de piratas informáticos en tiempo real. A continuación se muestra un ejemplo de cómo se ve mi TweetDeck ahora.
Conclusión
La recopilación de OSINT es un componente crítico de la caza de amenazas. Puede recopilar los datos que necesita para identificar posibles amenazas y vulnerabilidades utilizando motores de búsqueda, plataformas de redes sociales y herramientas como Maltego y SpiderFoot.
Estén atentos al próximo artículo de nuestra serie sobre OSINT para la caza de amenazas, donde exploraremos cómo analizar e interpretar los datos OSINT recopilados en este artículo.
¡Feliz OSINT!