Zbieranie OSINT na potrzeby polowania na zagrożenia

May 16 2023
Hej, cyberentuzjaści! Witamy ponownie w serii OSINT poświęconej polowaniu na zagrożenia. W pierwszym artykule przedstawiłem przegląd OSINT i jego znaczenie w polowaniu na zagrożenia.

Hej, cyberentuzjaści! Witamy ponownie w serii OSINT poświęconej polowaniu na zagrożenia. W pierwszym artykule przedstawiłem przegląd OSINT i jego znaczenie w polowaniu na zagrożenia. Dzisiaj skupimy się na narzędziach i technikach wykorzystywanych podczas procesu zbierania danych przez OSINT, koncentrując się na polowaniu na zagrożenia.

Oto krótki przegląd tego, co omówimy w tym artykule.

  1. Wyszukiwarki
  2. Platformy mediów społecznościowych
  3. Rejestry publiczne, raporty i fora
  4. narzędzia OSINT

Wyszukiwarki

Wyszukiwarki należą do najpowszechniejszych i najpotężniejszych narzędzi do gromadzenia danych OSINT. Przyjrzyjmy się kilku technikom, których możesz użyć, aby uzyskać lepsze wyniki podczas używania wyszukiwarek do polowania na zagrożenia:

Użyj Google Dorks:

Google Dorking to technika, którą powinien znać każdy specjalista ds. cyberbezpieczeństwa. Możesz myśleć o Google Dorks jako o zaawansowanych operatorach wyszukiwania, które pomagają znaleźć określone informacje, które w innym przypadku mogą być ukryte lub trudne do znalezienia.

Poniżej znajduje się kilka przykładów wykorzystania Dorks do polowania na zagrożenia:

  1. Odkryj serwery podatne na ataki: Możesz zidentyfikować serwery ze znanymi lukami, wyszukując określone słowa kluczowe. Na przykład możesz użyć Google Dork, takiego jak inurl:”php?=id1”, aby znaleźć strony internetowe zawierające potencjalne luki w zabezpieczeniach SQL Injection (SQLi).
  2. Znajdź ujawnione poufne informacje: Google Dorks może służyć do znajdowania poufnych informacji, które nie powinny znajdować się w Internecie, takich jak publiczne dokumenty zawierające hasła lub klucze prywatne. Możesz użyć typu Dork typu filetype:pdf „poufne”, aby znaleźć poufne pliki PDF, które są publicznie dostępne.
  3. Monitoruj wycieki danych: możesz użyć Google Dorks do wyszukiwania informacji o Twojej organizacji, które wyciekły. Na przykład możesz użyć „poufnej” witryny Dork, takiej jak „Nazwa firmy”: pastebin.com, aby znaleźć poufne pliki z Twojej firmy przesłane do Pastebin.
  4. Wykrywanie fałszowania: Cyberprzestępcy często niszczą strony internetowe za pomocą określonych fraz lub tagów. Na przykład możemy użyć intextu typu Dork: „Hacked by” site:twojawitryna.com, aby ustalić, czy nasza organizacja została uszkodzona.
  • site: aby przeszukać określoną witrynę internetową.
  • intext : aby wyszukać określone słowa kluczowe na stronie
  • typ pliku: aby wyszukać określone typy plików (PDF, Excel, Word).
  • ext: aby pobrać pliki z określonym rozszerzeniem (docx, txt, log, bk).
  • inurl: aby wyszukać adresy URL zawierające określoną sekwencję znaków.
  • intitle: aby wyszukać strony używając określonego tekstu w tytule strony.
  • pamięć podręczna: aby pobrać zapisaną w pamięci podręcznej (starszą) wersję strony internetowej.
  • - (minus): aby wykluczyć określone wyniki z wyszukiwania.

Połącz różne Dorki, aby poprawić swoje wyniki:

Łączenie różnych dork zapewni lepsze i bardziej trafne wyniki. Chcemy znaleźć pliki PDF hostowane w witrynie internetowej naszej organizacji. W takim przypadku moglibyśmy użyć następującej witryny firmy Dorks:twojawitryna.com typ pliku:PDF.

Korzystaj z wielu wyszukiwarek:

Chociaż Dorking jest generalnie kojarzony z Google, różne wyszukiwarki mają własny zestaw zaawansowanych operatorów wyszukiwania, które mogą dawać różne wyniki, dlatego warto wypróbować wiele wyszukiwarek, aby uzyskać bardziej wyczerpujące wyniki.

Użyj narzędzi takich jak Alerty Google:

Możesz utworzyć Alerty Google, aby powiadamiać Cię o znalezieniu nowych wyników wyszukiwania dla określonych słów kluczowych lub wyrażeń, co ułatwia monitorowanie nowych zagrożeń.

Na przykład utwórzmy Alert Google, aby monitorować możliwe Zniekształcenia.

A. Iść dohttps://www.google.com/alerts

B. Wpisz słowa kluczowe lub Dorks w pasku wyszukiwania; Użyję intext: „Hacked by” site: yourwebsite.com

C. Możesz dostosować alerty, klikając przycisk „Pokaż opcje”.

D. Gdy będziesz gotowy, dodaj swój adres e-mail i kliknij Utwórz powiadomienie.

Platformy mediów społecznościowych

Twitter : Twitter to wylęgarnia dyskusji na temat cyberbezpieczeństwa. Cyberprzestępcy często chwalą się tutaj swoimi włamaniami lub udostępniają wycieki danych. Możesz znaleźć cenne informacje, monitorując określone hashtagi, konta lub słowa kluczowe związane z Twoją organizacją.

Wskazówka: skonfiguruj alerty dotyczące terminów takich jak „włamanie do Twojej firmy”, „wyciek danych z Twojej firmy” lub określone hashtagi powszechnie używane przez hakerów, takie jak #OpTwojaFirma.

Reddit: Subreddity, takie jak r/netsec , r/hacking , r/darknet i r/cybersecurity to tylko niektóre z subredditów, na których omawiane są tematy związane z cyberbezpieczeństwem. Kanały te mogą służyć do dostarczania wczesnych wskaźników zagrożeń lub naruszeń.

Wskazówka: Monitoruj posty wspominające o Twojej organizacji lub produktach i subskrybuj subreddity związane z cyberbezpieczeństwem, aby monitorować najnowsze zagrożenia i trendy.

Mastodon : Mastodon zyskał na znaczeniu w ostatnich miesiącach i może być również pomocnym narzędziem do polowania na zagrożenia.

Wskazówka: Dołącz do odpowiednich „instancji” związanych z technologią i cyberbezpieczeństwem, takich jak ioc.exchange i infosec.exchange , aby być na bieżąco z najnowszymi wiadomościami. Możesz także skorzystać z zaawansowanych opcji wyszukiwania Mastodona, aby znaleźć wzmianki o swojej organizacji.

LinkedIn: LinkedIn to profesjonalna witryna sieciowa, ale może również zapewniać wgląd w potencjalne zagrożenia. Na przykład nagły napływ próśb od osób z tej samej branży może wskazywać na zbliżającą się próbę spear phishingu.

Porada: Monitoruj konta swoich pracowników pod kątem nietypowych próśb o połączenie lub wiadomości, które mogą być wczesnym wskaźnikiem ataku ukierunkowanego.

Pamiętaj, że chociaż media społecznościowe mogą dostarczyć ci naprawdę przydatnych informacji, to tylko jeden element układanki polowania na zagrożenia.

Inne źródła OSINT

Rejestry publiczne:

Publicznie dostępne dane, takie jak akta sądowe, akta korporacyjne i zgłoszenia patentowe, mogą zapewnić wgląd w infrastrukturę firmy, partnerstwa i nadchodzące projekty.

Na przykład, jeśli firma złożyła wniosek patentowy na nowe narzędzie, przestępcy mogą wykorzystać informacje zawarte w patencie do tworzenia kampanii phishingowych skierowanych do pracowników firmy, zwiększając ich skuteczność w pozyskiwaniu poufnych informacji lub uzyskiwaniu nieautoryzowanego dostępu.

Chociaż dostępność niektórych typów danych różni się w zależności od kraju, dostępne informacje nadal mogą dawać cyberprzestępcom przewagę. Firmy muszą być świadome publicznie dostępnych informacji, podejmować kroki w celu zabezpieczenia swoich wrażliwych danych i edukować swoich pracowników w zakresie znaczenia cyberbezpieczeństwa.

Raporty rządowe:

Agencje rządowe często publikują raporty na temat zagrożeń i naruszeń cyberbezpieczeństwa. Raporty te mogą dostarczać informacji o nowych lukach w zabezpieczeniach, trendach hakerskich i grupach aktorów zagrożeń. Jednym z moich ulubionych źródeł tych raportów jest Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) .

Fora internetowe:

Podziemne fora i rynki darknetu to miejsca, w których cyberprzestępcy mogą omawiać swoje taktyki, udostępniać narzędzia lub sprzedawać skradzione dane.

Monitorowanie tych platform może zapewnić wczesne ostrzeżenia o potencjalnych zagrożeniach. Pomocne mogą być również strony internetowe, takie jak GitHub, ponieważ mogą udostępniać publicznie dostępny kod, który wykorzystuje określone luki w zabezpieczeniach.

Weź pod uwagę konsekwencje etyczne i potencjalne ryzyko związane z dostępem do forów hakerskich lub rynków Darknet i interakcją z nimi.

Narzędzia do zbierania OSINT

Dostępnych jest wiele narzędzi do gromadzenia i analizowania OSINT. Oto tylko kilka przykładów:

Maltego : Maltego to potężne narzędzie OSINT do eksploracji danych i analizy linków. Doskonale nadaje się do wizualizacji złożonych sieci i relacji między jednostkami, takimi jak ludzie, firmy, domeny, strony internetowe, adresy IP itp. Jedną z jego najpotężniejszych funkcji jest możliwość zbierania danych z wielu źródeł za pomocą małych fragmentów kodu zwanych transformacjami.

Oto artykuł o tym, jak używać Maltego do oceny powierzchni ataku .

Spiderfoot : Spiderfoot to zautomatyzowane narzędzie rozpoznawcze, które może zbierać informacje o adresach IP, nazwach domen, adresach e-mail i nie tylko z setek źródeł OSINT.

Możesz użyć Spiderfoot do automatycznego zbierania informacji o potencjalnych cyberprzestępcach lub ich infrastrukturze.

Shodan : Shodan może znaleźć określone urządzenia podłączone do Internetu, w tym serwery, routery, kamery internetowe, a nawet inteligentne urządzenia.

Możesz użyć Shodan, aby znaleźć niechronione lub podatne na ataki urządzenia, które mogą wykorzystać cyberprzestępcy. Można go również wykorzystać do zbadania cyfrowego śladu organizacji i zidentyfikowania wszelkich odsłoniętych zasobów.

AlienVault OTX: AlienVault OTX to platforma wymiany informacji o zagrożeniach, na której badacze i specjaliści ds. bezpieczeństwa dzielą się swoimi odkryciami dotyczącymi potencjalnych zagrożeń, ataków i luk w zabezpieczeniach. Zapewnia środowisko współpracy, w którym użytkownicy mogą tworzyć „impulsy” lub kolekcje wskaźników naruszenia (IoC) związanych z określonymi zagrożeniami.

Możesz używać AlienVault, aby być na bieżąco z najnowszymi informacjami o zagrożeniach i korzystać z dostarczonych IoC (takich jak adresy IP, domeny, adresy URL, skróty plików itp.) do wyszukiwania zagrożeń w swoim środowisku.

TweetDeck: TweetDeck to aplikacja pulpitu nawigacyjnego do zarządzania kontami na Twitterze, ale może być również potężnym narzędziem do śledzenia słów kluczowych, hashtagów lub kont w czasie rzeczywistym.

Możesz użyć TweetDeck do monitorowania dyskusji związanych z zagrożeniami cyberbezpieczeństwa, wyciekami danych lub działaniami hakerów w czasie rzeczywistym. Poniżej znajduje się przykład tego, jak teraz wygląda mój TweetDeck.

Wniosek

Gromadzenie danych OSINT jest kluczowym elementem polowania na zagrożenia. Możesz zbierać dane potrzebne do identyfikowania potencjalnych zagrożeń i słabych punktów za pomocą wyszukiwarek, platform mediów społecznościowych i narzędzi, takich jak Maltego i SpiderFoot.

Czekaj na następny artykuł z naszej serii na temat OSINT do polowania na zagrożenia, w którym omówimy, jak analizować i interpretować dane OSINT zebrane w tym artykule.

Miłego OSINTowania!