Raccolta di OSINT per la caccia alle minacce
Ehi, cibernetici! Bentornati alla serie OSINT per la caccia alle minacce. Nel primo articolo , ti ho fornito una panoramica di OSINT e della sua importanza nella caccia alle minacce. Oggi ci concentreremo sugli strumenti e sulle tecniche utilizzate durante il processo di raccolta OSINT, concentrandoci sulla caccia alle minacce.
Ecco una rapida panoramica di ciò che discuteremo in questo articolo.
- Motori di ricerca
- Piattaforme di social media
- Registri pubblici, rapporti e forum
- strumenti OSINT
Motori di ricerca
I motori di ricerca sono tra gli strumenti più comuni e potenti per raccogliere OSINT. Esaminiamo alcune tecniche che puoi utilizzare per ottenere risultati migliori quando utilizzi i motori di ricerca per la caccia alle minacce:
Usa Google Dorks:
Google Dorking è una tecnica che ogni professionista della sicurezza informatica dovrebbe conoscere. Puoi pensare a Google Dorks come operatori di ricerca avanzati che ti aiutano a trovare informazioni specifiche che altrimenti potrebbero essere nascoste o difficili da trovare.
Di seguito sono riportati alcuni esempi di come sfruttare Dorks per la caccia alle minacce:
- Scopri i server vulnerabili: puoi identificare i server con vulnerabilità note cercando parole chiave specifiche. Ad esempio, potresti utilizzare un Google Dork come inurl:”php?=id1" per trovare pagine Web contenenti potenziali vulnerabilità di SQL injection (SQLi).
- Trova informazioni sensibili esposte: Google Dorks può essere utilizzato per trovare informazioni sensibili che non dovrebbero essere online, come documenti pubblici contenenti password o chiavi private. È possibile utilizzare un tipo di file simile a Dork:pdf "riservato" per trovare PDF riservati accessibili pubblicamente.
- Monitora le perdite di dati: puoi utilizzare Google Dorks per cercare informazioni trapelate sulla tua organizzazione. Ad esempio, puoi utilizzare un Dork come "Nome azienda" "riservato" site:pastebin.com per trovare i file riservati della tua azienda caricati su Pastebin.
- Rileva defacement: i criminali informatici spesso deturpano i siti Web con frasi o tag specifici. Ad esempio, potremmo usare un Dork come nel testo: "Hacked by" site:yourwebsite.com per determinare se la nostra organizzazione è stata deturpata.
- site: per cercare all'interno di un sito web specifico.
- intext : per cercare parole chiave specifiche all'interno di una pagina
- filetype: per cercare particolari tipi di file (PDF, Excel, Word).
- ext: per recuperare file con un'estensione specifica (docx, txt, log, bk).
- inurl: per cercare URL contenenti una specifica sequenza di caratteri.
- intitle: per cercare le pagine utilizzando un testo particolare nel titolo della pagina.
- cache: per recuperare la versione cache (precedente) di un sito web.
- - (meno): per escludere risultati specifici dalla ricerca.
Combina diversi Dorks per migliorare i tuoi risultati:
La combinazione di diversi idioti fornirà risultati migliori e più pertinenti. Vogliamo trovare i file PDF ospitati sul sito Web della nostra organizzazione. In tal caso, potremmo utilizzare il seguente Dorks site:yourwebsite.com filetype:PDF.
Utilizza più motori di ricerca:
Sebbene Dorking sia generalmente associato a Google, diversi motori di ricerca hanno il proprio set di operatori di ricerca avanzati che possono fornire risultati diversi, quindi è una buona idea provare più motori di ricerca per risultati più completi.
Utilizza strumenti come Google Alert:
Puoi creare Google Alert per avvisarti quando vengono trovati nuovi risultati di ricerca per parole chiave o frasi specifiche, semplificando il monitoraggio di nuove minacce.
Ad esempio, creiamo un avviso di Google per monitorare eventuali Defacement.
UN. Vai ahttps://www.google.com/alerts
B. Inserisci le tue parole chiave o Dorks nella barra di ricerca; Userò nel testo:"Hacked by" site:yourwebsite.com
C. Puoi personalizzare i tuoi avvisi facendo clic sul pulsante "Mostra opzioni".
D. Quando sei pronto, aggiungi il tuo indirizzo e-mail e fai clic su Crea avviso.
Piattaforme di social media
Twitter : Twitter è un focolaio di discussioni sulla sicurezza informatica. I criminali informatici spesso si vantano dei loro attacchi o condividono qui fughe di dati. Puoi trovare informazioni preziose monitorando hashtag, account o parole chiave specifici relativi alla tua organizzazione.
Suggerimento: imposta avvisi per termini come "YourCompany hack", "YourCompany data leak" o hashtag specifici comunemente usati da hacker come #OpYourCompany.
Reddit: subreddit come r/netsec , r/hacking , r/darknet e r/cybersecurity sono solo alcuni dei subreddit in cui vengono discussi argomenti relativi alla sicurezza informatica. Questi canali possono essere utilizzati per fornire indicatori precoci di minacce o violazioni.
Suggerimento: monitora i post che menzionano la tua organizzazione o i tuoi prodotti e iscriviti ai subreddit relativi alla sicurezza informatica per monitorare le ultime minacce e tendenze.
Mastodon : Mastodon ha acquisito molta rilevanza negli ultimi mesi e può anche essere uno strumento utile per la caccia alle minacce.
Suggerimento: unisciti alle "istanze" pertinenti relative alla tecnologia e alla sicurezza informatica, come ioc.exchange e infosec.exchange , per rimanere aggiornato con le ultime notizie. Puoi anche utilizzare le opzioni di ricerca avanzate di Mastodon per cercare menzioni della tua organizzazione.
LinkedIn: LinkedIn è un sito di networking professionale, ma può anche fornire informazioni su potenziali minacce. Ad esempio, un improvviso afflusso di richieste da parte di persone dello stesso settore potrebbe indicare un imminente tentativo di spear phishing.
Suggerimento: monitora gli account dei tuoi dipendenti per richieste o messaggi di connessione insoliti, che potrebbero essere un indicatore precoce di un attacco mirato.
Ricorda che mentre i social media possono darti alcune informazioni davvero utili, sono solo un pezzo del tuo puzzle di caccia alle minacce.
Altre fonti di OSINT
Registri pubblici:
I dati pubblicamente disponibili come documenti depositati in tribunale, registri aziendali e domande di brevetto possono fornire approfondimenti sull'infrastruttura, le partnership e i progetti imminenti di un'azienda.
Ad esempio, se un'azienda ha depositato un brevetto per un nuovo strumento, i criminali potrebbero utilizzare le informazioni contenute nel brevetto per creare campagne di phishing per prendere di mira i dipendenti dell'azienda, rendendoli più efficaci nell'ottenere informazioni sensibili o nell'ottenere accessi non autorizzati.
Anche se la disponibilità di alcuni tipi di dati varia in base al paese, le informazioni accessibili possono comunque offrire un vantaggio ai criminali informatici. Le aziende devono essere a conoscenza delle informazioni pubblicamente disponibili, adottare misure per proteggere i propri dati sensibili ed educare i propri dipendenti sull'importanza della sicurezza informatica.
Rapporti governativi:
Le agenzie governative pubblicano spesso rapporti su minacce e violazioni della sicurezza informatica. Questi rapporti possono fornire informazioni su nuove vulnerabilità, tendenze di hacking e gruppi di attori delle minacce. Una delle mie fonti di riferimento per questi rapporti è la US Cybersecurity and Infrastructure Security Agency (CISA) .
Forum in linea:
I forum sotterranei e i mercati darknet sono luoghi in cui gli attori delle minacce potrebbero discutere le loro tattiche, condividere strumenti o vendere dati rubati.
Il monitoraggio di queste piattaforme può fornire avvisi tempestivi di potenziali minacce. Anche siti web come GitHub possono essere utili, in quanto potrebbero ospitare codice pubblicamente disponibile che sfrutta particolari vulnerabilità.
Considera le implicazioni etiche e i potenziali rischi associati all'accesso e all'interazione con forum di hacker o mercati darknet.
Strumenti per raccogliere OSINT
Ci sono molti strumenti disponibili per raccogliere e analizzare OSINT. Ecco solo alcuni esempi:
Maltego : Maltego è un potente strumento OSINT per il data mining e l'analisi dei link. È eccellente per visualizzare reti complesse e relazioni tra entità come persone, aziende, domini, siti Web, indirizzi IP, ecc. Una delle sue caratteristiche più potenti è la sua capacità di raccogliere dati da più fonti con piccoli pezzi di codice chiamati trasformazioni.
Ecco un articolo su come utilizzare Maltego per le valutazioni della superficie di attacco .
Spiderfoot : Spiderfoot è uno strumento di ricognizione automatizzato in grado di raccogliere informazioni su IP, nomi di dominio, indirizzi e-mail e altro da centinaia di fonti OSINT.
Puoi utilizzare Spiderfoot per raccogliere automaticamente informazioni sui potenziali attori delle minacce o sulla loro infrastruttura.
Shodan : Shodan può trovare specifici dispositivi connessi a Internet, inclusi server, router, webcam e persino dispositivi intelligenti.
Puoi usare Shodan per trovare dispositivi non protetti o vulnerabili che gli attori delle minacce potrebbero sfruttare. Può anche essere utilizzato per esaminare l'impronta digitale della tua organizzazione e identificare eventuali risorse esposte.
AlienVault OTX: AlienVault OTX è una piattaforma di condivisione di informazioni sulle minacce in cui ricercatori e professionisti della sicurezza condividono le loro scoperte su potenziali minacce, attacchi e vulnerabilità. Fornisce un ambiente collaborativo in cui gli utenti possono creare "impulsi" o raccolte di indicatori di compromissione (IoC) relativi a minacce specifiche.
Puoi utilizzare AlienVault per rimanere aggiornato con le ultime informazioni sulle minacce e utilizzare gli IoC forniti (come indirizzi IP, domini, URL, hash di file, ecc.) per cercare minacce nel tuo ambiente.
TweetDeck: TweetDeck è un'applicazione dashboard per la gestione degli account Twitter, ma può anche essere un potente strumento per il monitoraggio in tempo reale di parole chiave, hashtag o account.
Puoi utilizzare TweetDeck per monitorare le discussioni relative a minacce alla sicurezza informatica, fughe di dati o attività di hacker in tempo reale. Di seguito è riportato un esempio di come appare ora il mio TweetDeck.
Conclusione
La raccolta di OSINT è una componente fondamentale della caccia alle minacce. Puoi raccogliere i dati necessari per identificare potenziali minacce e vulnerabilità utilizzando motori di ricerca, piattaforme di social media e strumenti come Maltego e SpiderFoot.
Resta sintonizzato per il prossimo articolo della nostra serie su OSINT per la caccia alle minacce, in cui esploreremo come analizzare e interpretare i dati OSINT raccolti in questo articolo.
Buon OSINTing!