脅威ハンティングのための OSINT の収集
サイバー愛好家の皆さん、こんにちは!OSINT for Threat Hunting シリーズへようこそ。最初の記事では、OSINT の概要と脅威ハンティングにおけるその重要性について説明しました。今日は、脅威ハンティングに焦点を当て、OSINT 収集プロセス中に使用されるツールとテクニックに焦点を当てます。
この記事で説明する内容の概要を次に示します。
- サーチエンジン
- ソーシャルメディアプラットフォーム
- 公的記録、報告書、フォーラム
- OSINTツール
サーチエンジン
検索エンジンは、OSINT を収集するための最も一般的で強力なツールの 1 つです。脅威ハンティングに検索エンジンを使用するときに、より良い結果を得るために使用できるいくつかのテクニックを見てみましょう。
Google Dork を使用します。
Google Dorking は、すべてのサイバーセキュリティ専門家が知っておくべきテクニックです。Google Dork は、隠されている、または見つけるのが難しい特定の情報を見つけるのに役立つ高度な検索演算子と考えることができます。
以下は、脅威ハンティングに Dork を活用する方法の例です。
- 脆弱なサーバーの検出:特定のキーワードを検索することで、既知の脆弱性を持つサーバーを特定できます。たとえば、inurl:”php?=id1”のような Google Dork を使用して、潜在的な SQL インジェクション脆弱性 (SQLi) を含む Web ページを見つけることができます。
- 公開された機密情報の検索: Google Dorks を使用すると、パスワードや秘密鍵を含む公開文書など、オンラインにあるべきではない機密情報を検索できます。filetype:pdf "confidential"のような Dork を使用して、公的にアクセス可能な機密 PDF を見つけることができます。
- データ漏洩の監視: Google Dorks を使用して、組織に関する漏洩情報を検索できます。たとえば、 「会社名」「機密」site:pastebin.comのような Dork を使用して、Pastebin にアップロードされた会社の機密ファイルを検索できます。
- 改ざんの検出:サイバー犯罪者は、特定のフレーズやタグを使用して Web サイトを改ざんすることがよくあります。たとえば、intext:”Hacked by” site:yourwebsite.com のような Dork を使用して、組織が改ざんされているかどうかを判断できます。
- サイト:特定の Web サイト内を検索します。
- intext : ページ内の特定のキーワードを検索します。
- filetype:特定のファイル タイプ (PDF、Excel、Word) を検索します。
- ext:特定の拡張子 (docx、txt、log、bk) を持つファイルを取得します。
- inurl:特定の文字シーケンスを含む URL を検索します。
- intitle:ページ タイトルに特定のテキストを使用してページを検索します。
- キャッシュ: Web サイトのキャッシュされた (古い) バージョンを取得します。
- - (マイナス):特定の結果を検索から除外します。
さまざまな Dork を組み合わせて結果を改善します。
さまざまなタスクを組み合わせると、より適切で関連性の高い結果が得られます。私たちの組織の Web サイトでホストされている PDF ファイルを探したいと考えています。その場合、Dorksサイト:yourwebsite.com ファイルタイプ:PDF を使用できます。
複数の検索エンジンを使用します。
Dorking は一般に Google と関連付けられていますが、検索エンジンが異なれば、異なる結果が得られる独自の高度な検索演算子のセットが存在するため、より包括的な結果を得るには複数の検索エンジンを試してみることをお勧めします。
Google アラートなどのツールを使用します。
Google アラートを作成して、特定のキーワードまたはフレーズに対する新しい検索結果が見つかったときに通知することができ、新しい脅威の監視が容易になります。
たとえば、改ざんの可能性を監視する Google アラートを作成してみましょう。
a.に行くhttps://www.google.com/alerts
b. 検索バーにキーワードまたはドークを入力します。intext:「Hacked by」 site:yourwebsite.com を使用します。
c. 「オプションを表示」ボタンをクリックすると、アラートをカスタマイズできます。
d. 準備ができたら、電子メール アドレスを追加し、[アラートの作成] をクリックします。
ソーシャルメディアプラットフォーム
Twitter : Twitter はサイバーセキュリティに関する議論の温床です。サイバー犯罪者はここで自分のハッキングを自慢したり、データ漏洩を共有したりすることがよくあります。組織に関連する特定のハッシュタグ、アカウント、キーワードを監視することで、貴重な情報を見つけることができます。
ヒント:「YourCompany ハッキング」、「YourCompany データ漏洩」などの用語、またはハッカーがよく使用する #OpYourCompany などの特定のハッシュタグについてアラートを設定します。
Reddit: r/netsec、r/hacking、r/darknet、r/cybersecurityなどのサブレディットは、サイバーセキュリティ関連のトピックが議論されるサブレディットのほんの一部です。これらのチャネルは、脅威や侵害の早期兆候を提供するために使用できます。
ヒント:組織や製品に言及する投稿を監視し、サイバーセキュリティ関連のサブレディットに登録して、最新の脅威や傾向を監視してください。
マストドン: ここ数カ月でマストドンの関連性が高まり、脅威ハンティングにも役立つツールとなり得ます。
ヒント: ioc.exchangeやinfosec.exchangeなど、テクノロジーとサイバーセキュリティに関連する関連「インスタンス」に参加して、最新のニュースを入手してください。マストドンの高度な検索オプションを使用して、組織に関するメンションを探すこともできます。
LinkedIn: LinkedIn はプロフェッショナル ネットワーキング サイトですが、潜在的な脅威に関する洞察も提供します。たとえば、同じ業界の人々からのリクエストが突然殺到した場合は、スピア フィッシングの試みが差し迫っていることを示している可能性があります。
ヒント:従業員のアカウントを監視して、異常な接続要求やメッセージがないか確認してください。これは、標的型攻撃の早期兆候である可能性があります。
ソーシャル メディアは非常に役立つ情報を提供しますが、それは脅威ハンティング パズルの 1 ピースにすぎないことを忘れないでください。
OSINT のその他のソース
公的記録:
裁判所への提出書類、企業記録、特許出願などの公開データから、企業のインフラストラクチャ、パートナーシップ、今後のプロジェクトについての洞察が得られます。
たとえば、企業が新しいツールの特許を申請した場合、犯罪者は特許内の情報を利用して従業員をターゲットにしたフィッシング キャンペーンを作成し、機密情報の取得や不正アクセスをより効果的に行う可能性があります。
特定の種類のデータを利用できるかどうかは国によって異なりますが、アクセス可能な情報は依然としてサイバー犯罪者に有利になる可能性があります。企業は、公開されている情報を認識し、機密データを保護するための措置を講じ、サイバーセキュリティの重要性について従業員を教育する必要があります。
政府報告書:
政府機関はサイバーセキュリティの脅威や侵害に関するレポートを発行することがよくあります。これらのレポートは、新しい脆弱性、ハッキング傾向、および脅威アクター グループに関する情報を提供します。これらのレポートに関して私が頼りにしている情報源の 1 つは、米国サイバーセキュリティ・インフラストラクチャー・セキュリティー庁 (CISA)です。
オンラインフォーラム:
アンダーグラウンド フォーラムやダークネット マーケットは、攻撃者が戦術について話し合ったり、ツールを共有したり、盗んだデータを販売したりする可能性のある場所です。
これらのプラットフォームを監視すると、潜在的な脅威を早期に警告できます。GitHub などの Web サイトは、特定の脆弱性を悪用する公開コードをホストしている可能性があるため、役立ちます。
ハッカー フォーラムやダークネット マーケットへのアクセスややり取りに関連する倫理的影響と潜在的なリスクを考慮してください。
OSINT を収集するためのツール
OSINT の収集と分析に利用できるツールは数多くあります。以下にいくつかの例を示します。
Maltego : Maltego は、データ マイニングとリンク分析のための強力な OSINT ツールです。これは、複雑なネットワークや、人、企業、ドメイン、Web サイト、IP アドレスなどのエンティティ間の関係を視覚化するのに優れています。最も強力な機能の 1 つは、Transform と呼ばれる小さなコードで複数のソースからデータを収集できる機能です。
Maltego を攻撃対象領域の評価に使用する方法に関する記事は次のとおりです。
Spiderfoot : Spiderfoot は、何百もの OSINT ソースから IP、ドメイン名、電子メール アドレスなどに関する情報を収集できる自動偵察ツールです。
Spiderfoot を使用すると、潜在的な脅威アクターやそのインフラストラクチャに関するインテリジェンスを自動的に収集できます。
Shodan : Shodan は、サーバー、ルーター、ウェブカメラ、さらにはスマート家電など、インターネットに接続された特定のデバイスを検索できます。
Shodan を使用すると、脅威アクターが悪用する可能性のある、保護されていないデバイスや脆弱なデバイスを見つけることができます。また、組織のデジタル フットプリントを調査し、流出した資産を特定するためにも使用できます。
AlienVault OTX: AlienVault OTX は、研究者やセキュリティ専門家が潜在的な脅威、攻撃、脆弱性に関する調査結果を共有する脅威インテリジェンス共有プラットフォームです。これは、ユーザーが特定の脅威に関連する「パルス」または侵害指標 (IoC) のコレクションを作成できる共同環境を提供します。
AlienVault を使用すると、最新の脅威インテリジェンスを常に最新の状態に保ち、提供された IoC (IP アドレス、ドメイン、URL、ファイル ハッシュなど) を使用して環境内の脅威を探索できます。
TweetDeck: TweetDeck はTwitter アカウントを管理するためのダッシュボード アプリケーションですが、キーワード、ハッシュタグ、またはアカウントをリアルタイムで追跡するための強力なツールとしても機能します。
TweetDeck を使用すると、サイバーセキュリティの脅威、データ漏洩、ハッカーの活動に関連する議論をリアルタイムで監視できます。以下は私の TweetDeck が現在どのようになっているかの例です。
結論
OSINT の収集は、脅威ハンティングの重要な要素です。検索エンジン、ソーシャル メディア プラットフォーム、Maltego や SpiderFoot などのツールを使用して、潜在的な脅威や脆弱性を特定するために必要なデータを収集できます。
脅威ハンティングのための OSINT に関するシリーズの次の記事にご期待ください。この記事では、この記事で収集した OSINT データを分析および解釈する方法について説明します。
OSINT を楽しんでください。