위협 사냥을 위한 OSINT 수집
안녕하세요, 사이버 애호가 여러분! 위협 사냥 시리즈에 대한 OSINT에 다시 오신 것을 환영합니다. 첫 번째 기사 에서는 OSINT에 대한 개요와 위협 사냥에서의 중요성에 대해 설명했습니다. 오늘 우리는 OSINT 수집 프로세스 중에 사용되는 도구와 기술에 초점을 맞추고 위협 추적에 중점을 둘 것입니다.
다음은 이 기사에서 논의할 내용에 대한 간략한 개요입니다.
- 검색 엔진
- 소셜 미디어 플랫폼
- 공공 기록, 보고서 및 포럼
- OSINT 도구
검색 엔진
검색 엔진은 OSINT 수집을 위한 가장 일반적이고 강력한 도구 중 하나입니다. 위협 사냥을 위해 검색 엔진을 사용할 때 더 나은 결과를 얻기 위해 사용할 수 있는 몇 가지 기술을 살펴보겠습니다.
Google Dorks 사용:
Google 도킹은 모든 사이버 보안 전문가가 알아야 할 기술입니다. Google Dorks는 숨겨져 있거나 찾기 어려운 특정 정보를 찾는 데 도움이 되는 고급 검색 연산자로 생각할 수 있습니다.
다음은 위협 사냥에 Dorks를 활용하는 방법에 대한 몇 가지 예입니다.
- 취약한 서버 검색: 특정 키워드를 검색하여 알려진 취약성이 있는 서버를 식별할 수 있습니다. 예를 들어 inurl:”php?=id1" 과 같은 Google Dok를 사용하여 잠재적인 SQL 주입 취약점(SQLi)이 포함된 웹 페이지를 찾을 수 있습니다.
- 노출된 민감한 정보 찾기: Google Dorks는 암호나 개인 키가 포함된 공개 문서와 같이 온라인에 있어서는 안 되는 민감한 정보를 찾는 데 사용할 수 있습니다. filetype:pdf "기밀" 과 같은 Dork를 사용하여 공개적으로 액세스할 수 있는 기밀 PDF를 찾을 수 있습니다.
- 데이터 유출 모니터링: Google Dorks를 사용하여 조직에 대한 유출 정보를 검색할 수 있습니다. 예를 들어 "회사 이름" "기밀" site:pastebin.com 과 같은 Dork를 사용하여 Pastebin에 업로드된 회사의 기밀 파일을 찾을 수 있습니다.
- 손상 감지: 사이버 범죄자는 종종 특정 문구나 태그로 웹사이트를 손상시킵니다. 예를 들어 intext:"Hacked by" site:yourwebsite.com과 같은 Dork를 사용하여 조직이 훼손되었는지 확인할 수 있습니다.
- 사이트: 특정 웹사이트 내에서 검색합니다.
- intext : 페이지 내 특정 키워드 검색
- filetype: 특정 파일 형식(PDF, Excel, Word)을 검색합니다.
- ext: 특정 확장자를 가진 파일 검색(docx, txt, log, bk).
- inurl: 특정 문자 시퀀스를 포함하는 URL을 검색합니다.
- intitle: 페이지 제목의 특정 텍스트를 사용하여 페이지를 검색합니다.
- 캐시: 웹 사이트의 캐시된(이전) 버전을 검색합니다.
- - (마이너스): 검색에서 특정 결과를 제외합니다.
다양한 Dorks를 결합하여 결과를 개선하세요.
서로 다른 도크를 결합하면 더 좋고 관련성 높은 결과를 얻을 수 있습니다. 조직의 웹 사이트에서 호스팅되는 PDF 파일을 찾고 싶습니다. 이 경우 Dorks site:yourwebsite.com filetype:PDF를 사용할 수 있습니다.
여러 검색 엔진 사용:
도킹은 일반적으로 Google과 관련이 있지만 검색 엔진마다 다른 결과를 제공할 수 있는 고유한 고급 검색 연산자 집합이 있으므로 보다 포괄적인 결과를 얻으려면 여러 검색 엔진을 사용해 보는 것이 좋습니다.
Google 알리미와 같은 도구 사용:
특정 키워드나 구문에 대한 새로운 검색 결과가 발견되면 알려주는 Google 알리미를 생성하여 새로운 위협을 보다 쉽게 모니터링할 수 있습니다.
예를 들어 가능한 손상을 모니터링하기 위해 Google 알리미를 만들어 보겠습니다.
ㅏ. 이동https://www.google.com/alerts
비. 검색창에 키워드 또는 Dorks를 입력합니다. intext:"Hacked by" site:yourwebsite.com을 사용하겠습니다.
씨. "옵션 표시" 버튼을 클릭하여 알림을 사용자 지정할 수 있습니다.
디. 준비가 되면 이메일 주소를 추가하고 알림 만들기를 클릭합니다.
소셜 미디어 플랫폼
Twitter : Twitter는 사이버 보안 토론의 온상입니다. 사이버 범죄자는 종종 자신의 해킹에 대해 자랑하거나 여기에서 데이터 유출을 공유합니다. 조직과 관련된 특정 해시태그, 계정 또는 키워드를 모니터링하여 유용한 정보를 찾을 수 있습니다.
팁: "YourCompany 해킹", "YourCompany 데이터 유출"과 같은 용어 또는 #OpYourCompany와 같은 해커가 일반적으로 사용하는 특정 해시태그에 대한 알림을 설정하십시오.
Reddit: r/netsec , r/hacking , r/darknet 및 r/cybersecurity 와 같은 하위 레딧은 사이버 보안 관련 주제가 논의되는 하위 레딧 중 일부에 불과합니다. 이러한 채널을 사용하여 위협 또는 침해에 대한 초기 지표를 제공할 수 있습니다.
팁: 조직 또는 제품을 언급하는 게시물을 모니터링하고 사이버 보안 관련 하위 레딧을 구독하여 최신 위협 및 추세를 모니터링하십시오.
Mastodon : Mastodon은 최근 몇 달 동안 많은 관련성을 얻었으며 위협 사냥에 유용한 도구가 될 수도 있습니다.
팁: ioc.exchange 및 infosec.exchange 와 같은 기술 및 사이버 보안과 관련된 관련 '인스턴스'에 참여하여 최신 뉴스를 최신 상태로 유지하세요. Mastodon의 고급 검색 옵션을 사용하여 조직에 대한 언급을 찾을 수도 있습니다.
LinkedIn: LinkedIn은 전문 네트워킹 사이트이지만 잠재적인 위협에 대한 통찰력을 제공할 수도 있습니다. 예를 들어, 동종 업계 사람들의 갑작스러운 요청 유입은 임박한 스피어 피싱 시도를 나타낼 수 있습니다.
팁: 표적 공격의 초기 지표가 될 수 있는 비정상적인 연결 요청이나 메시지가 있는지 직원의 계정을 모니터링하십시오.
소셜 미디어는 매우 유용한 정보를 제공할 수 있지만 위협 사냥 퍼즐의 한 조각일 뿐이라는 점을 기억하십시오.
OSINT의 다른 출처
공공 기록:
법원 서류, 기업 기록, 특허 출원과 같이 공개적으로 사용 가능한 데이터는 회사의 인프라, 파트너십 및 향후 프로젝트에 대한 통찰력을 제공할 수 있습니다.
예를 들어 회사가 새로운 도구에 대한 특허를 출원한 경우 범죄자는 특허 정보를 사용하여 회사 직원을 대상으로 하는 피싱 캠페인을 만들어 민감한 정보를 얻거나 무단 액세스 권한을 얻는 데 더 효과적일 수 있습니다.
특정 유형의 데이터의 가용성은 국가마다 다르지만 액세스할 수 있는 정보는 여전히 사이버 범죄자에게 이점을 제공할 수 있습니다. 회사는 공개적으로 사용 가능한 정보를 인식하고 중요한 데이터를 보호하기 위한 조치를 취하고 사이버 보안의 중요성에 대해 직원을 교육해야 합니다.
정부 보고서:
정부 기관은 종종 사이버 보안 위협 및 위반에 대한 보고서를 게시합니다. 이러한 보고서는 새로운 취약성, 해킹 추세 및 위협 행위자 그룹에 대한 정보를 제공할 수 있습니다. 이 보고서의 출처 중 하나는 미국 CISA(Cybersecurity and Infrastructure Security Agency) 입니다 .
온라인 포럼:
지하 포럼과 다크넷 시장은 위협 행위자가 전술을 논의하고 도구를 공유하거나 훔친 데이터를 판매할 수 있는 장소입니다.
이러한 플랫폼을 모니터링하면 잠재적 위협에 대한 조기 경고를 제공할 수 있습니다. GitHub와 같은 웹 사이트는 특정 취약성을 악용하는 공개적으로 사용 가능한 코드를 호스팅할 수 있으므로 유용할 수 있습니다.
해커 포럼 또는 다크넷 시장에 액세스하고 상호 작용하는 것과 관련된 윤리적 영향 및 잠재적 위험을 고려하십시오.
OSINT 수집 도구
OSINT를 수집하고 분석하는 데 사용할 수 있는 많은 도구가 있습니다. 다음은 몇 가지 예입니다.
Maltego : Maltego 는 데이터 마이닝 및 링크 분석을 위한 강력한 OSINT 도구입니다. 사람, 회사, 도메인, 웹사이트, IP 주소 등과 같은 엔터티 간의 복잡한 네트워크 및 관계를 시각화하는 데 탁월합니다. 가장 강력한 기능 중 하나는 변환이라는 작은 코드 조각으로 여러 소스에서 데이터를 수집하는 기능입니다.
다음은 Maltego를 공격면 평가에 사용하는 방법에 대한 기사입니다 .
Spiderfoot : Spiderfoot은 수백 개의 OSINT 소스에서 IP, 도메인 이름, 이메일 주소 등에 대한 정보를 수집할 수 있는 자동 정찰 도구입니다.
Spiderfoot을 사용하여 잠재적인 위협 행위자 또는 인프라에 대한 정보를 자동으로 수집할 수 있습니다.
Shodan : Shodan은 서버, 라우터, 웹캠 및 스마트 기기를 포함하여 특정 인터넷 연결 장치를 찾을 수 있습니다.
Shodan을 사용하여 공격자가 악용할 수 있는 보호되지 않거나 취약한 장치를 찾을 수 있습니다. 또한 조직의 디지털 공간을 조사하고 노출된 자산을 식별하는 데 사용할 수도 있습니다.
AlienVault OTX: AlienVault OTX 는 연구원과 보안 전문가가 잠재적 위협, 공격 및 취약성에 대한 연구 결과를 공유하는 위협 인텔리전스 공유 플랫폼입니다. 사용자가 특정 위협과 관련된 IoC(Indicator of Compromise) 모음 또는 "펄스"를 생성할 수 있는 협업 환경을 제공합니다.
AlienVault를 사용하여 최신 위협 인텔리전스로 업데이트된 상태를 유지하고 제공된 IoC(예: IP 주소, 도메인, URL, 파일 해시 등)를 사용하여 환경에서 위협을 찾을 수 있습니다.
TweetDeck: TweetDeck 은 Twitter 계정을 관리하기 위한 대시보드 애플리케이션이지만 키워드, 해시태그 또는 계정을 실시간으로 추적하는 강력한 도구이기도 합니다.
TweetDeck을 사용하여 사이버 보안 위협, 데이터 유출 또는 해커 활동과 관련된 토론을 실시간으로 모니터링할 수 있습니다. 아래는 현재 내 TweetDeck의 모습을 보여주는 예입니다.
결론
OSINT 수집은 위협 추적의 중요한 구성 요소입니다. 검색 엔진, 소셜 미디어 플랫폼, Maltego 및 SpiderFoot와 같은 도구를 사용하여 잠재적인 위협과 취약성을 식별하는 데 필요한 데이터를 수집할 수 있습니다.
이 기사에서 수집한 OSINT 데이터를 분석하고 해석하는 방법을 탐색할 위협 사냥을 위한 OSINT에 대한 시리즈의 다음 기사를 계속 지켜봐 주십시오.
행복한 OSINTing!