थ्रेट हंटिंग के लिए OSINT इकट्ठा करना
नमस्ते, साइबर उत्साही! थ्रेट हंटिंग सीरीज के लिए OSINT में वापस स्वागत है। पहले लेख में , मैंने आपको OSINT का संक्षिप्त विवरण दिया था और थ्रेट हंटिंग में इसका महत्व बताया था। आज हम खतरे के शिकार पर ध्यान केंद्रित करते हुए OSINT संग्रह प्रक्रिया के दौरान उपयोग किए जाने वाले उपकरणों और तकनीकों पर ध्यान केंद्रित करेंगे।
इस लेख में हम जिन बातों पर चर्चा करेंगे, उनका संक्षिप्त विवरण यहां दिया गया है।
- खोज इंजन
- सोशल मीडिया प्लेटफॉर्म
- सार्वजनिक रिकॉर्ड, रिपोर्ट और फ़ोरम
- ओएसआईएनटी उपकरण
खोज इंजन
OSINT को इकट्ठा करने के लिए सर्च इंजन सबसे आम और शक्तिशाली उपकरण हैं। आइए कुछ तकनीकों पर ध्यान दें जिनका उपयोग आप खतरे की खोज के लिए खोज इंजनों का उपयोग करते समय बेहतर परिणाम प्राप्त करने के लिए कर सकते हैं:
Google डॉर्क का प्रयोग करें:
Google डॉर्किंग एक ऐसी तकनीक है जिसे प्रत्येक साइबर सुरक्षा पेशेवर को जानना चाहिए। आप Google Dorks को उन्नत खोज ऑपरेटर के रूप में सोच सकते हैं जो आपको विशिष्ट जानकारी खोजने में मदद करता है जो अन्यथा छिपी या खोजने में कठिन हो सकती है।
नीचे कुछ उदाहरण दिए गए हैं कि खतरे की खोज के लिए डॉर्क्स का लाभ कैसे उठाया जाए:
- भेद्य सर्वरों की खोज करें: आप विशिष्ट खोजशब्दों की खोज करके ज्ञात भेद्यताओं वाले सर्वरों की पहचान कर सकते हैं। उदाहरण के लिए, संभावित SQL इंजेक्शन भेद्यता (SQLi) वाले वेब पृष्ठों को खोजने के लिए आप Google Dork जैसे inurl:”php?=id1" का उपयोग कर सकते हैं।
- उजागर संवेदनशील जानकारी प्राप्त करें: Google डॉर्क का उपयोग संवेदनशील जानकारी खोजने के लिए किया जा सकता है, जो ऑनलाइन नहीं होनी चाहिए, जैसे पासवर्ड या निजी कुंजी वाले सार्वजनिक दस्तावेज़। गोपनीय PDF खोजने के लिए आप डॉर्क जैसे filetype:pdf "गोपनीय" का उपयोग कर सकते हैं जो सार्वजनिक रूप से सुलभ हैं।
- डेटा लीक की निगरानी करें: आप अपने संगठन के बारे में लीक हुई जानकारी को खोजने के लिए Google डॉर्क का उपयोग कर सकते हैं। उदाहरण के लिए, आप पेस्टबिन पर अपलोड की गई अपनी कंपनी की गोपनीय फाइलों को खोजने के लिए "कंपनी का नाम" "गोपनीय" साइट:pastebin.com जैसे डॉर्क का उपयोग कर सकते हैं ।
- विरूपण का पता लगाना: साइबर अपराधी अक्सर वेबसाइटों को विशिष्ट वाक्यांशों या टैग के साथ विकृत करते हैं। उदाहरण के लिए, हम एक डॉर्क जैसे इंटेक्स्ट का उपयोग कर सकते हैं: "हैक किया गया" साइट: yourwebsite.com यह निर्धारित करने के लिए कि क्या हमारे संगठन को विरूपित किया गया है।
- साइट: एक विशिष्ट वेबसाइट के भीतर खोज करने के लिए।
- इंटेक्स्ट : किसी पृष्ठ के भीतर विशिष्ट कीवर्ड खोजने के लिए
- फ़ाइल प्रकार: विशेष फ़ाइल प्रकारों (पीडीएफ, एक्सेल, वर्ड) की खोज करने के लिए।
- ext: एक विशिष्ट एक्सटेंशन (docx, txt, log, bk) वाली फ़ाइलों को पुनः प्राप्त करने के लिए।
- inurl: वर्णों के विशिष्ट अनुक्रम वाले URL खोजने के लिए।
- शीर्षक: पृष्ठ शीर्षक में किसी विशेष पाठ का उपयोग करके पृष्ठों की खोज करना।
- कैश: किसी वेबसाइट के कैश्ड (पुराने) संस्करण को पुनः प्राप्त करने के लिए।
- - (ऋण): खोज से विशिष्ट परिणामों को बाहर करने के लिए।
अपने परिणामों को बेहतर बनाने के लिए अलग-अलग डॉर्क को मिलाएं:
विभिन्न डॉर्क का संयोजन बेहतर और अधिक प्रासंगिक परिणाम प्रदान करेगा। हम अपने संगठन की वेबसाइट पर होस्ट की गई पीडीएफ फाइलों को खोजना चाहते हैं। उस स्थिति में, हम निम्नलिखित डॉर्क्स साइट का उपयोग कर सकते हैं: yourwebsite.com फ़ाइल प्रकार: पीडीएफ।
एकाधिक खोज इंजन का प्रयोग करें:
हालांकि डॉर्किंग आम तौर पर Google से जुड़ा हुआ है, विभिन्न खोज इंजनों के पास उन्नत खोज ऑपरेटरों का अपना सेट होता है जो अलग-अलग परिणाम प्रदान कर सकते हैं, इसलिए अधिक व्यापक परिणामों के लिए कई खोज इंजनों को आज़माना एक अच्छा विचार है।
Google अलर्ट जैसे टूल का उपयोग करें:
विशिष्ट कीवर्ड या वाक्यांशों के लिए नए खोज परिणाम मिलने पर आपको सूचित करने के लिए आप Google अलर्ट बना सकते हैं, जिससे नए खतरों की निगरानी करना आसान हो जाता है।
उदाहरण के लिए, आइए संभावित विरूपताओं की निगरानी के लिए एक Google अलर्ट बनाएं।
एक। के लिए जाओhttps://www.google.com/alerts
बी। खोज बार में अपने कीवर्ड या डॉर्क दर्ज करें; मैं इंटेक्स्ट का उपयोग करूंगा: "द्वारा हैक किया गया" साइट: yourwebsite.com
सी। आप "शो विकल्प" बटन पर क्लिक करके अपने अलर्ट को कस्टमाइज़ कर सकते हैं।
डी। जब आप तैयार हों, तो अपना ईमेल पता जोड़ें और अलर्ट बनाएं पर क्लिक करें।
सोशल मीडिया प्लेटफॉर्म
ट्विटर : साइबर सुरक्षा चर्चाओं के लिए ट्विटर एक आकर्षण का केंद्र है। साइबर अपराधी अक्सर अपने हैक के बारे में शेखी बघारते हैं या यहां डेटा लीक साझा करते हैं। आप विशिष्ट हैशटैग, खातों, या अपने संगठन से संबंधित खोजशब्दों की निगरानी करके बहुमूल्य जानकारी प्राप्त कर सकते हैं।
युक्ति: "YourCompany hack", "YourCompany data leak", या #OpYourCompany जैसे आमतौर पर हैकर्स द्वारा उपयोग किए जाने वाले विशिष्ट हैशटैग जैसे शब्दों के लिए अलर्ट सेट करें।
Reddit: सबरेडिट्स जैसे r/netsec , r/hacking , r/darknet , और r/cybersecurity ऐसे ही कुछ सबरेडिट्स हैं जहां साइबर सुरक्षा से संबंधित विषयों पर चर्चा की जाती है। इन चैनलों का उपयोग खतरों या उल्लंघनों के शुरुआती संकेतक प्रदान करने के लिए किया जा सकता है।
युक्ति: अपने संगठन या उत्पादों का उल्लेख करने वाली पोस्टों की निगरानी करें और नवीनतम खतरों और रुझानों पर नज़र रखने के लिए साइबर सुरक्षा से संबंधित सबरेडिट्स की सदस्यता लें।
मास्टोडन : मास्टोडन ने हाल के महीनों में बहुत अधिक प्रासंगिकता प्राप्त की है और यह खतरे के शिकार के लिए एक सहायक उपकरण भी हो सकता है।
युक्ति: नवीनतम समाचारों के साथ अप-टू-डेट रहने के लिए, ioc.exchange और infosec.exchange जैसे प्रौद्योगिकी और साइबर सुरक्षा से संबंधित प्रासंगिक 'इंस्टेंसेस' से जुड़ें। आप अपने संगठन के उल्लेखों को देखने के लिए मास्टोडॉन के उन्नत खोज विकल्पों का भी उपयोग कर सकते हैं।
लिंक्डइन: लिंक्डइन एक पेशेवर नेटवर्किंग साइट है, लेकिन यह संभावित खतरों में अंतर्दृष्टि भी प्रदान कर सकती है। उदाहरण के लिए, एक ही उद्योग में लोगों के अनुरोधों का अचानक प्रवाह एक आसन्न भाला-फ़िशिंग प्रयास का संकेत दे सकता है।
युक्ति: असामान्य कनेक्शन अनुरोधों या संदेशों के लिए अपने कर्मचारियों के खातों की निगरानी करें, जो लक्षित हमले का प्रारंभिक संकेतक हो सकता है।
याद रखें कि जबकि सोशल मीडिया आपको कुछ गंभीर रूप से उपयोगी जानकारी दे सकता है, यह आपकी धमकी-शिकार पहेली का सिर्फ एक टुकड़ा है।
OSINT के अन्य स्रोत
सार्वजनिक रिकॉर्ड:
सार्वजनिक रूप से उपलब्ध डेटा जैसे कोर्ट फाइलिंग, कॉर्पोरेट रिकॉर्ड और पेटेंट आवेदन कंपनी के बुनियादी ढांचे, साझेदारी और आगामी परियोजनाओं में अंतर्दृष्टि प्रदान कर सकते हैं।
उदाहरण के लिए, यदि किसी कंपनी ने एक नए टूल के लिए पेटेंट दायर किया है, तो अपराधी कंपनी के कर्मचारियों को लक्षित करने के लिए फ़िशिंग अभियान बनाने के लिए पेटेंट में जानकारी का उपयोग कर सकते हैं, जिससे वे संवेदनशील जानकारी प्राप्त करने या अनधिकृत पहुँच प्राप्त करने में अधिक प्रभावी हो जाते हैं।
हालांकि कुछ प्रकार के डेटा की उपलब्धता देश के अनुसार अलग-अलग होती है, फिर भी सुलभ जानकारी साइबर अपराधियों को लाभ दे सकती है। कंपनियों को सार्वजनिक रूप से उपलब्ध जानकारी के बारे में पता होना चाहिए, अपने संवेदनशील डेटा को सुरक्षित रखने के लिए कदम उठाने चाहिए और साइबर सुरक्षा के महत्व पर अपने कर्मचारियों को शिक्षित करना चाहिए।
सरकारी रिपोर्ट:
सरकारी एजेंसियां अक्सर साइबर सुरक्षा खतरों और उल्लंघनों पर रिपोर्ट प्रकाशित करती हैं। ये रिपोर्ट नई कमजोरियों, हैकिंग प्रवृत्तियों और खतरे वाले अभिनेता समूहों के बारे में जानकारी प्रदान कर सकती हैं। इन रिपोर्टों के लिए मेरे जाने-माने स्रोतों में से एक यूएस साइबर सुरक्षा और इंफ्रास्ट्रक्चर सुरक्षा एजेंसी (सीआईएसए) है ।
ऑनलाइन मंच:
अंडरग्राउंड फ़ोरम और डार्कनेट बाज़ार ऐसे स्थान हैं जहाँ खतरे के कारक अपनी रणनीति पर चर्चा कर सकते हैं, उपकरण साझा कर सकते हैं या चोरी किए गए डेटा को बेच सकते हैं।
इन प्लेटफार्मों की निगरानी संभावित खतरों की प्रारंभिक चेतावनी प्रदान कर सकती है। GitHub जैसी वेबसाइटें भी मददगार हो सकती हैं, क्योंकि वे सार्वजनिक रूप से उपलब्ध कोड को होस्ट कर सकती हैं जो विशेष कमजोरियों का फायदा उठाता है।
हैकर मंचों या डार्कनेट बाजारों तक पहुँचने और बातचीत करने से जुड़े नैतिक निहितार्थों और संभावित जोखिमों पर विचार करें।
OSINT एकत्र करने के लिए उपकरण
OSINT को इकट्ठा करने और उसका विश्लेषण करने के लिए कई टूल उपलब्ध हैं। यहां कुछ उदाहरण दिए जा रहे हैं:
माल्टेगो : माल्टेगो डेटा माइनिंग और लिंक विश्लेषण के लिए एक शक्तिशाली OSINT टूल है। यह लोगों, कंपनियों, डोमेन, वेबसाइटों, आईपी पते आदि जैसी संस्थाओं के बीच जटिल नेटवर्क और संबंधों की कल्पना करने के लिए उत्कृष्ट है। इसकी सबसे शक्तिशाली विशेषताओं में से एक इसकी ट्रांसफॉर्म नामक कोड के छोटे टुकड़ों के साथ कई स्रोतों से डेटा एकत्र करने की क्षमता है।
हमले के भूतल आकलन के लिए माल्टेगो का उपयोग कैसे करें, इस पर एक लेख यहां दिया गया है ।
स्पाइडरफुट : स्पाइडरफुट एक स्वचालित टोही उपकरण है जो सैकड़ों OSINT स्रोतों से IP, डोमेन नाम, ईमेल पते और अन्य के बारे में जानकारी एकत्र कर सकता है।
आप संभावित खतरे वाले कारकों या उनके बुनियादी ढांचे के बारे में स्वचालित रूप से खुफिया जानकारी इकट्ठा करने के लिए स्पाइडरफुट का उपयोग कर सकते हैं।
Shodan : Shodan सर्वर, राउटर, वेबकैम और यहां तक कि स्मार्ट उपकरणों सहित विशिष्ट इंटरनेट से जुड़े उपकरणों को खोज सकता है।
आप शोडान का उपयोग असुरक्षित या कमजोर उपकरणों को खोजने के लिए कर सकते हैं जो खतरे वाले अभिनेताओं का शोषण कर सकते हैं। इसका उपयोग आपके संगठन के डिजिटल पदचिह्न की जांच करने और किसी भी उजागर संपत्ति की पहचान करने के लिए भी किया जा सकता है।
एलियनवॉल्ट ओटीएक्स: एलियनवॉल्ट ओटीएक्स एक खतरा खुफिया-साझाकरण मंच है जहां शोधकर्ता और सुरक्षा पेशेवर संभावित खतरों, हमलों और कमजोरियों के बारे में अपने निष्कर्ष साझा करते हैं। यह एक सहयोगी वातावरण प्रदान करता है जहां उपयोगकर्ता विशिष्ट खतरों से संबंधित "पल्स" या समझौता के संकेतक (IoCs) का संग्रह बना सकते हैं।
आप एलियनवॉल्ट का उपयोग नवीनतम खतरे की जानकारी से अपडेट रहने के लिए कर सकते हैं और अपने वातावरण में खतरों का शिकार करने के लिए प्रदान किए गए आईओसी (जैसे आईपी पते, डोमेन, यूआरएल, फाइल हैश आदि) का उपयोग कर सकते हैं।
ट्वीटडेक: ट्वीटडेक ट्विटर खातों के प्रबंधन के लिए एक डैशबोर्ड एप्लिकेशन है, लेकिन यह कीवर्ड, हैशटैग या खातों की रीयल-टाइम ट्रैकिंग के लिए एक शक्तिशाली टूल भी हो सकता है।
आप वास्तविक समय में साइबर सुरक्षा खतरों, डेटा लीक या हैकर गतिविधियों से संबंधित चर्चाओं की निगरानी के लिए ट्वीटडेक का उपयोग कर सकते हैं। नीचे एक उदाहरण है कि मेरा ट्वीटडेक अब कैसा दिखता है।
निष्कर्ष
OSINT को इकट्ठा करना थ्रेट हंटिंग का एक महत्वपूर्ण घटक है। आप खोज इंजन, सोशल मीडिया प्लेटफॉर्म और माल्टेगो और स्पाइडरफुट जैसे टूल का उपयोग करके संभावित खतरों और कमजोरियों की पहचान करने के लिए आवश्यक डेटा एकत्र कर सकते हैं।
खतरे की खोज के लिए OSINT पर हमारी श्रृंखला के अगले लेख के लिए बने रहें, जहां हम इस लेख में एकत्र किए गए OSINT डेटा का विश्लेषण और व्याख्या करने का तरीका जानेंगे।
हैप्पी ओसिनटिंग!