Thu thập OSINT để săn lùng mối đe dọa
Xin chào, những người đam mê mạng! Chào mừng bạn quay trở lại OSINT cho loạt bài săn tìm mối đe dọa. Trong bài viết đầu tiên , tôi đã cung cấp cho bạn tổng quan về OSINT và tầm quan trọng của nó trong việc tìm kiếm mối đe dọa. Hôm nay chúng ta sẽ tập trung vào các công cụ và kỹ thuật được sử dụng trong quá trình thu thập OSINT, tập trung vào việc tìm kiếm mối đe dọa.
Dưới đây là tổng quan nhanh về những gì chúng ta sẽ thảo luận trong bài viết này.
- Công cụ tìm kiếm
- Nền tảng truyền thông xã hội
- Hồ sơ Công khai, Báo cáo và Diễn đàn
- công cụ OSINT
Công cụ tìm kiếm
Công cụ tìm kiếm là một trong những công cụ phổ biến và mạnh mẽ nhất để thu thập OSINT. Hãy xem xét một số kỹ thuật bạn có thể sử dụng để có kết quả tốt hơn khi sử dụng các công cụ tìm kiếm để tìm kiếm mối đe dọa:
Sử dụng Google Dork:
Google Dorking là một kỹ thuật mà mọi chuyên gia an ninh mạng nên biết. Bạn có thể coi Google Dork là toán tử tìm kiếm nâng cao giúp bạn tìm thông tin cụ thể có thể bị ẩn hoặc khó tìm.
Dưới đây là một số ví dụ về cách tận dụng Dork để săn lùng mối đe dọa:
- Khám phá các máy chủ dễ bị tổn thương: Bạn có thể xác định các máy chủ có lỗ hổng đã biết bằng cách tìm kiếm các từ khóa cụ thể. Ví dụ: bạn có thể sử dụng Google Dork như inurl:”php?=id1" để tìm các trang web chứa lỗ hổng SQL injection (SQLi) tiềm ẩn.
- Tìm thông tin nhạy cảm bị lộ: Google Dork có thể được sử dụng để tìm thông tin nhạy cảm không nên trực tuyến, chẳng hạn như tài liệu công khai có chứa mật khẩu hoặc khóa riêng tư. Bạn có thể sử dụng Dork như filetype:pdf “confidential” để tìm các tệp PDF bí mật có thể truy cập công khai.
- Theo dõi rò rỉ dữ liệu: Bạn có thể sử dụng Google Dork để tìm kiếm thông tin rò rỉ về tổ chức của mình. Chẳng hạn, bạn có thể sử dụng Dork như “Tên công ty” “bí mật” site:pastebin.com để tìm các tệp Bí mật từ công ty của bạn đã tải lên Pastebin.
- Phát hiện thủ đoạn: Tội phạm mạng thường phá hoại các trang web bằng các cụm từ hoặc thẻ cụ thể. Ví dụ: chúng tôi có thể sử dụng Dork như intext:"Hacked by" site:yourwebsite.com để xác định xem tổ chức của chúng tôi có bị thay đổi giao diện hay không.
- trang web: để tìm kiếm trong một trang web cụ thể.
- intext : để tìm kiếm các từ khóa cụ thể trong một trang
- filetype: để tìm kiếm các loại tệp cụ thể (PDF, Excel, Word).
- ext: để truy xuất các tệp có phần mở rộng cụ thể (docx, txt, log, bk).
- inurl: để tìm kiếm các URL chứa một chuỗi ký tự cụ thể.
- intitle: để tìm kiếm các trang sử dụng một văn bản cụ thể trong tiêu đề trang.
- bộ đệm: để truy xuất phiên bản đã lưu trong bộ nhớ cache (cũ hơn) của một trang web.
- - (trừ): để loại trừ các kết quả cụ thể khỏi tìm kiếm.
Kết hợp các Dork khác nhau để cải thiện kết quả của bạn:
Kết hợp các dork khác nhau sẽ mang lại kết quả tốt hơn và phù hợp hơn. Chúng tôi muốn tìm các tệp PDF được lưu trữ trên trang web của tổ chức chúng tôi. Trong trường hợp đó, chúng tôi có thể sử dụng trang web Dork sau :yourwebsite.com loại tệp:PDF.
Sử dụng nhiều công cụ tìm kiếm:
Mặc dù Dorking thường được liên kết với Google, nhưng các công cụ tìm kiếm khác nhau có bộ toán tử tìm kiếm nâng cao riêng có thể cung cấp các kết quả khác nhau, vì vậy, bạn nên thử nhiều công cụ tìm kiếm để có kết quả toàn diện hơn.
Sử dụng các công cụ như Google Alerts:
Bạn có thể tạo Google Alerts để thông báo cho bạn khi tìm thấy kết quả tìm kiếm mới cho các từ khóa hoặc cụm từ cụ thể, giúp việc theo dõi các mối đe dọa mới dễ dàng hơn.
Chẳng hạn, hãy tạo Google Alert để theo dõi các hành vi Deface có thể xảy ra.
Một. Đi đếnhttps://www.google.com/alerts
b. Nhập từ khóa hoặc Dork của bạn vào thanh tìm kiếm; Tôi sẽ sử dụng intext:"Hacked by" site:yourwebsite.com
c. Bạn có thể tùy chỉnh cảnh báo của mình bằng cách nhấp vào nút “Hiển thị tùy chọn”.
đ. Khi bạn đã sẵn sàng, hãy thêm địa chỉ email của bạn và nhấp vào Tạo cảnh báo.
Nền tảng truyền thông xã hội
Twitter : Twitter là điểm nóng cho các cuộc thảo luận về an ninh mạng. Tội phạm mạng thường khoe khoang về các vụ hack của chúng hoặc chia sẻ dữ liệu bị rò rỉ tại đây. Bạn có thể tìm thấy thông tin có giá trị bằng cách theo dõi các thẻ bắt đầu bằng #, tài khoản hoặc từ khóa cụ thể liên quan đến tổ chức của mình.
Mẹo: Thiết lập cảnh báo cho các thuật ngữ như “Công ty của bạn bị hack”, “Rò rỉ dữ liệu của Công ty bạn” hoặc các thẻ bắt đầu bằng # cụ thể thường được tin tặc sử dụng như #OpYourCompany.
Reddit: Các subreddits như r/netsec , r/hacking , r/darknet và r/cybersecurity chỉ là một vài trong số các subreddits nơi các chủ đề liên quan đến an ninh mạng được thảo luận. Các kênh này có thể được sử dụng để cung cấp các chỉ báo sớm về các mối đe dọa hoặc vi phạm.
Mẹo: Theo dõi các bài đăng đề cập đến tổ chức hoặc sản phẩm của bạn và đăng ký các subreddit liên quan đến an ninh mạng để theo dõi các mối đe dọa và xu hướng mới nhất.
Mastodon : Mastodon đã đạt được nhiều sự liên quan trong những tháng gần đây và cũng có thể là một công cụ hữu ích để săn tìm mối đe dọa.
Mẹo: Tham gia các 'trường hợp' có liên quan đến công nghệ và an ninh mạng, chẳng hạn như ioc.exchange và infosec.exchange , để luôn cập nhật những tin tức mới nhất. Bạn cũng có thể sử dụng các tùy chọn tìm kiếm nâng cao của Mastodon để tìm kiếm các đề cập về tổ chức của mình.
LinkedIn: LinkedIn là một trang mạng chuyên nghiệp, nhưng nó cũng có thể cung cấp thông tin chi tiết về các mối đe dọa tiềm ẩn. Chẳng hạn, một loạt yêu cầu đột ngột từ những người trong cùng ngành có thể cho thấy một nỗ lực lừa đảo trực tuyến sắp xảy ra.
Mẹo: Giám sát tài khoản của nhân viên để biết các yêu cầu kết nối hoặc tin nhắn bất thường, đây có thể là dấu hiệu sớm của một cuộc tấn công có chủ đích.
Hãy nhớ rằng mặc dù phương tiện truyền thông xã hội có thể cung cấp cho bạn một số thông tin hữu ích thực sự, nhưng đó chỉ là một phần trong câu đố săn lùng mối đe dọa của bạn.
Các nguồn khác của OSINT
Hồ sơ công cộng:
Dữ liệu có sẵn công khai như hồ sơ tòa án, hồ sơ công ty và đơn xin cấp bằng sáng chế có thể cung cấp thông tin chuyên sâu về cơ sở hạ tầng, quan hệ đối tác và các dự án sắp tới của công ty.
Ví dụ: nếu một công ty đã đăng ký bằng sáng chế cho một công cụ mới, bọn tội phạm có thể sử dụng thông tin trong bằng sáng chế để tạo các chiến dịch Lừa đảo nhắm mục tiêu đến nhân viên của công ty, giúp họ thu thập thông tin nhạy cảm hoặc truy cập trái phép hiệu quả hơn.
Mặc dù tính sẵn có của một số loại dữ liệu khác nhau tùy theo quốc gia, nhưng thông tin có thể truy cập được vẫn có thể mang lại lợi thế cho tội phạm mạng. Các công ty phải nhận thức được thông tin có sẵn công khai, thực hiện các bước để bảo mật dữ liệu nhạy cảm của họ và giáo dục nhân viên của họ về tầm quan trọng của an ninh mạng.
Báo cáo Chính phủ:
Các cơ quan chính phủ thường công bố các báo cáo về các mối đe dọa và vi phạm an ninh mạng. Các báo cáo này có thể cung cấp thông tin về các lỗ hổng mới, xu hướng hack và các nhóm tác nhân đe dọa. Một trong những nguồn tôi có thể tìm đến để cung cấp các báo cáo này là Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) .
Diễn đàn trực tuyến:
Các diễn đàn ngầm và thị trường darknet là nơi các tác nhân đe dọa có thể thảo luận về chiến thuật của chúng, chia sẻ công cụ hoặc bán dữ liệu bị đánh cắp.
Giám sát các nền tảng này có thể đưa ra cảnh báo sớm về các mối đe dọa tiềm ẩn. Các trang web như GitHub cũng có thể hữu ích vì chúng có thể lưu trữ mã có sẵn công khai để khai thác các lỗ hổng cụ thể.
Xem xét các tác động đạo đức và rủi ro tiềm ẩn liên quan đến việc truy cập và tương tác với các diễn đàn tin tặc hoặc thị trường darknet.
Công cụ thu thập OSINT
Có nhiều công cụ để thu thập và phân tích OSINT. Đây chỉ la một vai vi dụ:
Maltego : Maltego là một công cụ OSINT mạnh mẽ để khai thác dữ liệu và phân tích liên kết. Thật tuyệt vời khi trực quan hóa các mạng phức tạp và mối quan hệ giữa các thực thể như con người, công ty, miền, trang web, địa chỉ IP, v.v. Một trong những tính năng mạnh mẽ nhất của nó là khả năng thu thập dữ liệu từ nhiều nguồn bằng các đoạn mã nhỏ có tên là Chuyển đổi.
Đây là bài viết về cách sử dụng Maltego để Đánh giá bề mặt tấn công .
Spiderfoot : Spiderfoot là một công cụ trinh sát tự động có thể thu thập thông tin về IP, tên miền, địa chỉ email, v.v. từ hàng trăm nguồn OSINT.
Bạn có thể sử dụng Spiderfoot để tự động thu thập thông tin tình báo về các tác nhân đe dọa tiềm tàng hoặc cơ sở hạ tầng của chúng.
Shodan : Shodan có thể tìm các thiết bị kết nối internet cụ thể, bao gồm máy chủ, bộ định tuyến, webcam và thậm chí cả các thiết bị thông minh.
Bạn có thể sử dụng Shodan để tìm các thiết bị không được bảo vệ hoặc dễ bị tấn công mà những kẻ tấn công có thể khai thác. Nó cũng có thể được sử dụng để điều tra dấu chân kỹ thuật số của tổ chức bạn và xác định bất kỳ tài sản nào bị lộ.
AlienVault OTX: AlienVault OTX là một nền tảng chia sẻ thông tin tình báo về mối đe dọa, nơi các nhà nghiên cứu và chuyên gia bảo mật chia sẻ những phát hiện của họ về các mối đe dọa, cuộc tấn công và lỗ hổng tiềm ẩn. Nó cung cấp một môi trường cộng tác, nơi người dùng có thể tạo “xung” hoặc tập hợp các Chỉ số thỏa hiệp (IoC) liên quan đến các mối đe dọa cụ thể.
Bạn có thể sử dụng AlienVault để luôn cập nhật thông tin tình báo về mối đe dọa mới nhất và sử dụng các IoC được cung cấp (như địa chỉ IP, miền, URL, hàm băm tệp, v.v.) để tìm kiếm các mối đe dọa trong môi trường của bạn.
TweetDeck: TweetDeck là một ứng dụng bảng điều khiển để quản lý tài khoản Twitter, nhưng nó cũng có thể là một công cụ mạnh mẽ để theo dõi từ khóa, thẻ bắt đầu bằng # hoặc tài khoản theo thời gian thực.
Bạn có thể sử dụng TweetDeck để theo dõi các cuộc thảo luận liên quan đến các mối đe dọa an ninh mạng, rò rỉ dữ liệu hoặc hoạt động của tin tặc trong thời gian thực. Dưới đây là một ví dụ về giao diện TweetDeck của tôi bây giờ.
Phần kết luận
Thu thập OSINT là một thành phần quan trọng của việc tìm kiếm mối đe dọa. Bạn có thể thu thập dữ liệu cần thiết để xác định các mối đe dọa và lỗ hổng tiềm ẩn bằng cách sử dụng các công cụ tìm kiếm, nền tảng truyền thông xã hội và các công cụ như Maltego và SpiderFoot.
Hãy theo dõi bài viết tiếp theo trong loạt bài về OSINT để tìm kiếm mối đe dọa, nơi chúng ta sẽ khám phá cách phân tích và diễn giải dữ liệu OSINT được thu thập trong bài viết này.
Chúc mừng OSINTing!