Rassembler OSINT pour la chasse aux menaces

May 16 2023
Salut les cyber-amateurs ! Bienvenue à nouveau dans la série OSINT pour la chasse aux menaces. Dans le premier article, je vous ai donné un aperçu d'OSINT et de son importance dans la chasse aux menaces.

Salut les cyber-amateurs ! Bienvenue à nouveau dans la série OSINT pour la chasse aux menaces. Dans le premier article , je vous ai donné un aperçu de l'OSINT et de son importance dans la chasse aux menaces. Aujourd'hui, nous allons nous concentrer sur les outils et techniques utilisés lors du processus de collecte OSINT, en nous concentrant sur la chasse aux menaces.

Voici un aperçu rapide de ce dont nous allons discuter dans cet article.

  1. Moteurs de recherche
  2. Plateformes de médias sociaux
  3. Archives publiques, rapports et forums
  4. Outils OSINT

Moteurs de recherche

Les moteurs de recherche sont parmi les outils les plus courants et les plus puissants pour collecter OSINT. Passons en revue certaines techniques que vous pouvez utiliser pour obtenir de meilleurs résultats lorsque vous utilisez des moteurs de recherche pour la chasse aux menaces :

Utilisez Google Dork :

Google Dorking est une technique que tout professionnel de la cybersécurité devrait connaître. Vous pouvez considérer Google Dorks comme des opérateurs de recherche avancés qui vous aident à trouver des informations spécifiques qui pourraient autrement être cachées ou difficiles à trouver.

Vous trouverez ci-dessous quelques exemples d'utilisation de Dorks pour la chasse aux menaces :

  1. Découvrir les serveurs vulnérables : vous pouvez identifier les serveurs présentant des vulnérabilités connues en recherchant des mots clés spécifiques. Par exemple, vous pouvez utiliser un Google Dork comme inurl :"php?=id1" pour trouver des pages Web contenant des vulnérabilités potentielles d'injection SQL (SQLi).
  2. Trouver des informations sensibles exposées : Google Dorks peut être utilisé pour trouver des informations sensibles qui ne devraient pas être en ligne, comme des documents publics contenant des mots de passe ou des clés privées. Vous pouvez utiliser un Dork comme filetype:pdf "confidentiel" pour trouver des PDF confidentiels accessibles au public.
  3. Surveiller les fuites de données : vous pouvez utiliser Google Dorks pour rechercher des informations divulguées sur votre organisation. Par exemple, vous pouvez utiliser un site Dork comme "Nom de l'entreprise" "confidentiel": pastebin.com pour trouver les fichiers confidentiels de votre entreprise téléchargés sur Pastebin.
  4. Détecter la défiguration : les cybercriminels défigurent souvent les sites Web avec des phrases ou des balises spécifiques. Par exemple, nous pourrions utiliser un Dork comme intext: "Hacked by" site: yourwebsite.com pour déterminer si notre organisation a été dégradée.
  • site : pour effectuer une recherche dans un site Web spécifique.
  • intext : pour rechercher des mots-clés spécifiques dans une page
  • filetype : pour rechercher des types de fichiers particuliers (PDF, Excel, Word).
  • ext : pour récupérer des fichiers avec une extension spécifique (docx, txt, log, bk).
  • inurl : pour rechercher des URL contenant une séquence spécifique de caractères.
  • intitle : pour rechercher des pages utilisant un texte particulier dans le titre de la page.
  • cache : pour récupérer la version en cache (ancienne) d'un site Web.
  • - (moins) : pour exclure des résultats spécifiques de la recherche.

Combinez différents Dorks pour améliorer vos résultats :

La combinaison de différents dorks fournira des résultats meilleurs et plus pertinents. Nous voulons trouver des fichiers PDF hébergés sur le site Web de notre organisation. Dans ce cas, nous pourrions utiliser le site Dorks suivant : votre site Web. type de fichier : PDF.

Utilisez plusieurs moteurs de recherche :

Bien que Dorking soit généralement associé à Google, différents moteurs de recherche ont leur propre ensemble d'opérateurs de recherche avancés qui peuvent fournir des résultats différents, c'est donc une bonne idée d'essayer plusieurs moteurs de recherche pour des résultats plus complets.

Utilisez des outils tels que Google Alertes :

Vous pouvez créer des alertes Google pour vous avertir lorsque de nouveaux résultats de recherche sont trouvés pour des mots clés ou des expressions spécifiques, ce qui facilite la surveillance des nouvelles menaces.

Par exemple, créons une alerte Google pour surveiller d'éventuelles dégradations.

un. Aller àhttps://www.google.com/alerts

b. Entrez vos mots-clés ou Dorks dans la barre de recherche ; J'utiliserai en texte: "Hacked by" site: yourwebsite.com

c. Vous pouvez personnaliser vos alertes en cliquant sur le bouton "Afficher les options".

d. Une fois que vous êtes prêt, ajoutez votre adresse e-mail et cliquez sur Créer une alerte.

Plateformes de médias sociaux

Twitter : Twitter est un foyer de discussions sur la cybersécurité. Les cybercriminels se vantent souvent de leurs hacks ou partagent des fuites de données ici. Vous pouvez trouver des informations précieuses en surveillant des hashtags, des comptes ou des mots-clés spécifiques liés à votre organisation.

Conseil : configurez des alertes pour des termes tels que "piratage de votre entreprise", "fuite de données de votre entreprise" ou des hashtags spécifiques couramment utilisés par les pirates comme #OpYourCompany.

Reddit : les sous-reddits comme r/netsec , r/hacking , r/darknet et r/cybersecurity ne sont que quelques-uns des sous-reddits où les sujets liés à la cybersécurité sont abordés. Ces canaux peuvent être utilisés pour fournir des indicateurs précoces de menaces ou de violations.

Astuce : surveillez les messages mentionnant votre organisation ou vos produits et abonnez-vous aux sous-reddits liés à la cybersécurité pour surveiller les dernières menaces et tendances.

Mastodon : Mastodon a gagné en pertinence ces derniers mois et peut également être un outil utile pour la chasse aux menaces.

Conseil : rejoignez les "instances" pertinentes liées à la technologie et à la cybersécurité, telles que ioc.exchange et infosec.exchange , pour rester au courant des dernières actualités. Vous pouvez également utiliser les options de recherche avancées de Mastodon pour rechercher les mentions de votre organisation.

LinkedIn : LinkedIn est un site de réseautage professionnel, mais il peut également fournir des informations sur les menaces potentielles. Par exemple, un afflux soudain de demandes de personnes du même secteur pourrait indiquer une tentative de harponnage imminente.

Conseil : Surveillez les comptes de vos employés pour les demandes de connexion ou les messages inhabituels, qui pourraient être un indicateur précoce d'une attaque ciblée.

N'oubliez pas que si les médias sociaux peuvent vous fournir des informations très utiles, ce n'est qu'une pièce de votre puzzle de chasse aux menaces.

Autres sources d'OSINT

Archives publiques :

Les données accessibles au public telles que les dossiers judiciaires, les dossiers d'entreprise et les demandes de brevet peuvent fournir des informations sur l'infrastructure, les partenariats et les projets à venir d'une entreprise.

Par exemple, si une entreprise a déposé un brevet pour un nouvel outil, les criminels pourraient utiliser les informations contenues dans le brevet pour créer des campagnes de phishing ciblant les employés de l'entreprise, les rendant plus efficaces pour obtenir des informations sensibles ou obtenir un accès non autorisé.

Bien que la disponibilité de certains types de données varie selon les pays, les informations accessibles peuvent toujours donner un avantage aux cybercriminels. Les entreprises doivent être conscientes des informations accessibles au public, prendre des mesures pour sécuriser leurs données sensibles et éduquer leurs employés sur l'importance de la cybersécurité.

Rapports gouvernementaux :

Les agences gouvernementales publient souvent des rapports sur les menaces et les violations de la cybersécurité. Ces rapports peuvent fournir des informations sur les nouvelles vulnérabilités, les tendances de piratage et les groupes d'acteurs menaçants. L'une de mes sources de référence pour ces rapports est la US Cybersecurity and Infrastructure Security Agency (CISA) .

Forums en ligne :

Les forums clandestins et les marchés darknet sont des endroits où les acteurs de la menace peuvent discuter de leurs tactiques, partager des outils ou vendre des données volées.

La surveillance de ces plates-formes peut fournir des alertes précoces sur les menaces potentielles. Des sites Web comme GitHub peuvent également être utiles, car ils peuvent héberger du code accessible au public qui exploite des vulnérabilités particulières.

Tenez compte des implications éthiques et des risques potentiels associés à l'accès et à l'interaction avec les forums de pirates ou les marchés darknet.

Outils pour rassembler OSINT

Il existe de nombreux outils disponibles pour collecter et analyser OSINT. Voici quelques exemples :

Maltego : Maltego est un puissant outil OSINT pour l'exploration de données et l'analyse de liens. Il est excellent pour visualiser des réseaux complexes et des relations entre des entités telles que des personnes, des entreprises, des domaines, des sites Web, des adresses IP, etc. L'une de ses fonctionnalités les plus puissantes est sa capacité à collecter des données à partir de plusieurs sources avec de petits morceaux de code appelés Transforms.

Voici un article sur l'utilisation de Maltego pour les évaluations de surface d'attaque .

Spiderfoot : Spiderfoot est un outil de reconnaissance automatisé qui peut collecter des informations sur les adresses IP, les noms de domaine, les adresses e-mail, etc. à partir de centaines de sources OSINT.

Vous pouvez utiliser Spiderfoot pour collecter automatiquement des informations sur les acteurs potentiels de la menace ou leur infrastructure.

Shodan : Shodan peut trouver des appareils spécifiques connectés à Internet, notamment des serveurs, des routeurs, des webcams et même des appareils intelligents.

Vous pouvez utiliser Shodan pour trouver des appareils non protégés ou vulnérables que les pirates pourraient exploiter. Il peut également être utilisé pour étudier l'empreinte numérique de votre organisation et identifier les actifs exposés.

AlienVault OTX : AlienVault OTX est une plateforme de partage de renseignements sur les menaces où les chercheurs et les professionnels de la sécurité partagent leurs découvertes sur les menaces, les attaques et les vulnérabilités potentielles. Il fournit un environnement collaboratif dans lequel les utilisateurs peuvent créer des « impulsions » ou des collections d'indicateurs de compromission (IoC) liés à des menaces spécifiques.

Vous pouvez utiliser AlienVault pour rester à jour avec les dernières informations sur les menaces et utiliser les IoC fournis (comme les adresses IP, les domaines, les URL, les hachages de fichiers, etc.) pour rechercher les menaces dans votre environnement.

TweetDeck : TweetDeck est une application de tableau de bord pour la gestion des comptes Twitter, mais il peut également être un outil puissant pour le suivi en temps réel des mots-clés, des hashtags ou des comptes.

Vous pouvez utiliser TweetDeck pour surveiller les discussions liées aux menaces de cybersécurité, aux fuites de données ou aux activités des pirates en temps réel. Vous trouverez ci-dessous un exemple de ce à quoi ressemble mon TweetDeck maintenant.

Conclusion

La collecte d'OSINT est un élément essentiel de la chasse aux menaces. Vous pouvez collecter les données dont vous avez besoin pour identifier les menaces et les vulnérabilités potentielles à l'aide de moteurs de recherche, de plateformes de médias sociaux et d'outils tels que Maltego et SpiderFoot.

Restez à l'écoute pour le prochain article de notre série sur OSINT pour la chasse aux menaces, où nous explorerons comment analyser et interpréter les données OSINT recueillies dans cet article.

Bonne OSINTing !