Coletando OSINT para caçar ameaças
Olá, entusiastas cibernéticos! Bem-vindo de volta ao OSINT para a série de caça a ameaças. No primeiro artigo , apresentei uma visão geral do OSINT e sua importância na caça às ameaças. Hoje vamos focar nas ferramentas e técnicas utilizadas durante o processo de coleta OSINT, com foco na caça às ameaças.
Aqui está uma visão geral rápida do que discutiremos neste artigo.
- Mecanismos de busca
- Plataformas de mídia social
- Registros públicos, relatórios e fóruns
- ferramentas OSINT
Mecanismos de busca
Os mecanismos de pesquisa estão entre as ferramentas mais comuns e poderosas para coletar OSINT. Vamos examinar algumas técnicas que você pode usar para obter melhores resultados ao usar mecanismos de pesquisa para caçar ameaças:
Use o Google Dorks:
O Google Dorking é uma técnica que todo profissional de segurança cibernética deveria conhecer. Você pode pensar no Google Dorks como operadores de pesquisa avançada que o ajudam a encontrar informações específicas que, de outra forma, podem ficar ocultas ou difíceis de encontrar.
Abaixo estão alguns exemplos de como aproveitar os Dorks para caçar ameaças:
- Descobrir servidores vulneráveis: você pode identificar servidores com vulnerabilidades conhecidas pesquisando por palavras-chave específicas. Por exemplo, você pode usar um Google Dork como inurl:”php?=id1" para encontrar páginas da Web que contenham possíveis vulnerabilidades de injeção de SQL (SQLi).
- Encontre informações confidenciais expostas: o Google Dorks pode ser usado para encontrar informações confidenciais que não deveriam estar online, como documentos públicos contendo senhas ou chaves privadas. Você pode usar um Dork como filetype:pdf “confidencial” para encontrar PDFs confidenciais que são acessíveis publicamente.
- Monitore vazamentos de dados: você pode usar o Google Dorks para pesquisar informações vazadas sobre sua organização. Por exemplo, você pode usar um Dork como “Nome da empresa” “confidencial” site:pastebin.com para encontrar arquivos confidenciais de sua empresa enviados para Pastebin.
- Detectar desfiguração: os cibercriminosos geralmente desfiguram sites com frases ou tags específicas. Por exemplo, poderíamos usar um Dork como intext:”Hacked by” site:yourwebsite.com para determinar se nossa organização foi desfigurada.
- site: para pesquisar em um site específico.
- intext : para pesquisar palavras-chave específicas em uma página
- tipo de arquivo: para pesquisar tipos de arquivo específicos (PDF, Excel, Word).
- ext: para recuperar arquivos com uma extensão específica (docx, txt, log, bk).
- inurl: para procurar URLs contendo uma sequência específica de caracteres.
- intitle: para pesquisar páginas usando um determinado texto no título da página.
- cache: para recuperar a versão em cache (antiga) de um site.
- - (menos): para excluir resultados específicos da pesquisa.
Combine diferentes Dorks para melhorar seus resultados:
A combinação de diferentes idiotas fornecerá resultados melhores e mais relevantes. Queremos encontrar arquivos PDF hospedados no site da nossa organização. Nesse caso, poderíamos usar o seguinte site Dorks:yourwebsite.com filetype:PDF.
Use vários mecanismos de pesquisa:
Embora Dorking seja geralmente associado ao Google, diferentes mecanismos de pesquisa têm seu próprio conjunto de operadores de pesquisa avançada que podem fornecer resultados diferentes, por isso é uma boa ideia tentar vários mecanismos de pesquisa para obter resultados mais abrangentes.
Use ferramentas como Alertas do Google:
Você pode criar Alertas do Google para notificá-lo quando novos resultados de pesquisa forem encontrados para palavras-chave ou frases específicas, facilitando o monitoramento de novas ameaças.
Por exemplo, vamos criar um alerta do Google para monitorar possíveis desfigurações.
a. Vá parahttps://www.google.com/alerts
b. Digite suas palavras-chave ou Dorks na barra de pesquisa; Vou usar intext:”Hacked by” site:yourwebsite.com
c. Você pode personalizar seus alertas clicando no botão “Mostrar opções”.
d. Quando estiver pronto, adicione seu endereço de e-mail e clique em Criar alerta.
Plataformas de mídia social
Twitter : o Twitter é um foco de discussões sobre segurança cibernética. Os cibercriminosos geralmente se gabam de seus hacks ou compartilham vazamentos de dados aqui. Você pode encontrar informações valiosas monitorando hashtags, contas ou palavras-chave específicas relacionadas à sua organização.
Dica: configure alertas para termos como “hackeamento da suaempresa”, “vazamento de dados da suaempresa” ou hashtags específicas comumente usadas por hackers como #OpYourCompany.
Reddit: Subreddits como r/netsec , r/hacking , r/darknet e r/cybersecurity são apenas alguns dos subreddits onde tópicos relacionados à segurança cibernética são discutidos. Esses canais podem ser usados para fornecer indicadores iniciais de ameaças ou violações.
Dica: monitore postagens que mencionem sua organização ou produtos e assine subreddits relacionados à segurança cibernética para monitorar as ameaças e tendências mais recentes.
Mastodon : Mastodon ganhou muita relevância nos últimos meses e também pode ser uma ferramenta útil para caçar ameaças.
Dica: Junte-se a 'instâncias' relevantes relacionadas à tecnologia e segurança cibernética, como ioc.exchange e infosec.exchange , para se manter atualizado com as últimas notícias. Você também pode usar as opções de pesquisa avançada do Mastodon para procurar menções à sua organização.
LinkedIn: LinkedIn é um site de rede profissional, mas também pode fornecer informações sobre ameaças potenciais. Por exemplo, um fluxo repentino de solicitações de pessoas do mesmo setor pode indicar uma tentativa iminente de spear phishing.
Dica: monitore as contas de seus funcionários em busca de solicitações ou mensagens de conexão incomuns, que podem ser um indicador precoce de um ataque direcionado.
Lembre-se de que, embora a mídia social possa fornecer informações muito úteis, ela é apenas uma peça do quebra-cabeça de caça às ameaças.
Outras fontes de OSINT
Dados públicos:
Dados disponíveis publicamente, como processos judiciais, registros corporativos e pedidos de patente, podem fornecer informações sobre a infraestrutura, parcerias e projetos futuros de uma empresa.
Por exemplo, se uma empresa registrou uma patente para uma nova ferramenta, os criminosos podem usar as informações da patente para criar campanhas de phishing para atingir os funcionários da empresa, tornando-os mais eficazes na obtenção de informações confidenciais ou acesso não autorizado.
Embora a disponibilidade de certos tipos de dados varie de acordo com o país, as informações acessíveis ainda podem dar uma vantagem aos cibercriminosos. As empresas devem estar cientes das informações disponíveis publicamente, tomar medidas para proteger seus dados confidenciais e educar seus funcionários sobre a importância da segurança cibernética.
Relatórios do Governo:
As agências governamentais costumam publicar relatórios sobre ameaças e violações de segurança cibernética. Esses relatórios podem fornecer informações sobre novas vulnerabilidades, tendências de hackers e grupos de agentes de ameaças. Uma das minhas fontes para esses relatórios é a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) .
Fóruns on-line:
Fóruns clandestinos e mercados da darknet são locais onde os agentes de ameaças podem discutir suas táticas, compartilhar ferramentas ou vender dados roubados.
O monitoramento dessas plataformas pode fornecer avisos antecipados de possíveis ameaças. Sites como o GitHub também podem ser úteis, pois podem hospedar códigos disponíveis publicamente que exploram vulnerabilidades específicas.
Considere as implicações éticas e os riscos potenciais associados ao acesso e interação com fóruns de hackers ou mercados da darknet.
Ferramentas para coletar OSINT
Existem muitas ferramentas disponíveis para coletar e analisar OSINT. Aqui estão alguns exemplos:
Maltego : Maltego é uma poderosa ferramenta OSINT para mineração de dados e análise de links. É excelente para visualizar redes complexas e relacionamentos entre entidades como pessoas, empresas, domínios, sites, endereços IP, etc. Um de seus recursos mais poderosos é a capacidade de coletar dados de várias fontes com pequenos pedaços de código chamados Transforms.
Aqui está um artigo sobre como usar o Maltego para avaliações de superfície de ataque .
Spiderfoot : Spiderfoot é uma ferramenta de reconhecimento automatizada que pode coletar informações sobre IPs, nomes de domínio, endereços de e-mail e muito mais de centenas de fontes OSINT.
Você pode usar o Spiderfoot para coletar automaticamente informações sobre potenciais agentes de ameaças ou sua infraestrutura.
Shodan : Shodan pode encontrar dispositivos específicos conectados à Internet, incluindo servidores, roteadores, webcams e até aparelhos inteligentes.
Você pode usar Shodan para encontrar dispositivos desprotegidos ou vulneráveis que os agentes de ameaças podem explorar. Ele também pode ser usado para investigar a pegada digital da sua organização e identificar quaisquer ativos expostos.
AlienVault OTX: O AlienVault OTX é uma plataforma de compartilhamento de inteligência de ameaças em que pesquisadores e profissionais de segurança compartilham suas descobertas sobre possíveis ameaças, ataques e vulnerabilidades. Ele fornece um ambiente colaborativo onde os usuários podem criar “pulsos” ou coleções de indicadores de comprometimento (IoCs) relacionados a ameaças específicas.
Você pode usar o AlienVault para se manter atualizado com a inteligência de ameaças mais recente e usar os IoCs fornecidos (como endereços IP, domínios, URLs, hashes de arquivo, etc.) para caçar ameaças em seu ambiente.
TweetDeck: TweetDeck é um aplicativo de painel para gerenciar contas do Twitter, mas também pode ser uma ferramenta poderosa para rastreamento em tempo real de palavras-chave, hashtags ou contas.
Você pode usar o TweetDeck para monitorar discussões relacionadas a ameaças de segurança cibernética, vazamentos de dados ou atividades de hackers em tempo real. Abaixo está um exemplo de como meu TweetDeck está agora.
Conclusão
A coleta de OSINT é um componente crítico da caça às ameaças. Você pode coletar os dados necessários para identificar possíveis ameaças e vulnerabilidades usando mecanismos de pesquisa, plataformas de mídia social e ferramentas como Maltego e SpiderFoot.
Fique atento ao próximo artigo de nossa série sobre OSINT para caçar ameaças, onde exploraremos como analisar e interpretar os dados OSINT reunidos neste artigo.
Feliz OSINTing!