Сбор OSINT для поиска угроз
Привет, киберлюбители! Добро пожаловать обратно в серию OSINT по поиску угроз. В первой статье я дал вам обзор OSINT и его важность в поиске угроз. Сегодня мы сосредоточимся на инструментах и методах, используемых в процессе сбора данных OSINT, уделив особое внимание поиску угроз.
Вот краткий обзор того, что мы обсудим в этой статье.
- Поисковые системы
- Платформы социальных сетей
- Публичные записи, отчеты и форумы
- OSINT-инструменты
Поисковые системы
Поисковые системы являются одними из самых распространенных и мощных инструментов для сбора данных OSINT. Давайте рассмотрим некоторые методы, которые вы можете использовать для получения лучших результатов при использовании поисковых систем для поиска угроз:
Используйте Google Доркс:
Google Dorking — это метод, который должен знать каждый специалист по кибербезопасности. Вы можете думать о Google Dorks как об операторах расширенного поиска, которые помогают вам находить конкретную информацию, которая в противном случае может быть скрыта или трудно найти.
Ниже приведены несколько примеров того, как использовать Dorks для поиска угроз:
- Обнаружение уязвимых серверов. Вы можете определить серверы с известными уязвимостями, выполнив поиск по определенным ключевым словам. Например, вы можете использовать Google Dork, например inurl:”php?=id1”, чтобы найти веб-страницы, содержащие потенциальные уязвимости SQL-инъекций (SQLi).
- Поиск раскрытой конфиденциальной информации: Google Dorks можно использовать для поиска конфиденциальной информации, которая не должна находиться в сети, например общедоступных документов, содержащих пароли или закрытые ключи. Вы можете использовать Dork, например filetype:pdf «конфиденциально», чтобы найти общедоступные конфиденциальные PDF-файлы.
- Мониторинг утечек данных: вы можете использовать Google Dorks для поиска утечек информации о вашей организации. Например, вы можете использовать Dork, такой как «Название компании», «конфиденциальный» сайт: pastebin.com, чтобы найти конфиденциальные файлы вашей компании, загруженные в Pastebin.
- Обнаружение порчи: Киберпреступники часто искажают веб-сайты с помощью определенных фраз или тегов. Например, мы могли бы использовать Dork как intext: «Hacked by» site:yourwebsite.com, чтобы определить, была ли наша организация испорчена.
- site: для поиска на определенном веб-сайте.
- intext : для поиска определенных ключевых слов на странице
- тип файла: для поиска определенных типов файлов (PDF, Excel, Word).
- ext: для получения файлов с определенным расширением (docx, txt, log, bk).
- inurl: для поиска URL-адресов, содержащих определенную последовательность символов.
- intitle: для поиска страниц с использованием определенного текста в заголовке страницы.
- cache: для извлечения кэшированной (более старой) версии веб-сайта.
- - (минус): исключить определенные результаты из поиска.
Комбинируйте разные Дорки, чтобы улучшить свои результаты:
Комбинирование различных дорков даст лучшие и более релевантные результаты. Мы хотим найти файлы PDF, размещенные на веб-сайте нашей организации. В этом случае мы могли бы использовать следующий сайт Dorks:yourwebsite.com тип файла:PDF.
Используйте несколько поисковых систем:
Хотя доркинг обычно ассоциируется с Google, разные поисковые системы имеют собственный набор операторов расширенного поиска, которые могут давать разные результаты, поэтому рекомендуется попробовать несколько поисковых систем для получения более полных результатов.
Используйте такие инструменты, как Google Alerts:
Вы можете создать Оповещения Google, чтобы уведомлять вас о новых результатах поиска по определенным ключевым словам или фразам, что упрощает отслеживание новых угроз.
Например, давайте создадим оповещение Google для отслеживания возможных искажений.
а. Идти кhttps://www.google.com/alerts
б. Введите ключевые слова или дорки в строку поиска; Я буду использовать intext: «Взломал» site: yourwebsite.com
в. Вы можете настроить оповещения, нажав кнопку «Показать параметры».
д. Когда вы будете готовы, добавьте свой адрес электронной почты и нажмите «Создать оповещение».
Платформы социальных сетей
Твиттер : Твиттер — это место для дискуссий о кибербезопасности. Киберпреступники часто хвастаются своими взломами или делятся здесь утечками данных. Вы можете найти ценную информацию, отслеживая определенные хэштеги, учетные записи или ключевые слова, связанные с вашей организацией.
Совет. Настройте оповещения для таких терминов, как «Взлом вашей компании», «Утечка данных вашей компании» или определенных хэштегов, обычно используемых хакерами, таких как #OpYourCompany.
Reddit: такие сабреддиты, как r/netsec , r/hacking , r/darknet и r/cybersecurity — это лишь некоторые из сабреддитов, где обсуждаются темы, связанные с кибербезопасностью. Эти каналы можно использовать для раннего выявления угроз или взломов.
Совет: отслеживайте сообщения, в которых упоминается ваша организация или продукты, и подписывайтесь на субреддиты, связанные с кибербезопасностью, чтобы отслеживать последние угрозы и тенденции.
Mastodon : Mastodon приобрел большую актуальность в последние месяцы и также может быть полезным инструментом для поиска угроз.
Совет. Присоединяйтесь к соответствующим «экземплярам», связанным с технологиями и кибербезопасностью, таким как ioc.exchange и infosec.exchange , чтобы быть в курсе последних новостей. Вы также можете использовать параметры расширенного поиска Mastodon для поиска упоминаний о вашей организации.
LinkedIn: LinkedIn — это профессиональный сетевой сайт, но он также может предоставить информацию о потенциальных угрозах. Например, внезапный приток запросов от людей из той же отрасли может указывать на надвигающуюся попытку целевого фишинга.
Совет: следите за учетными записями ваших сотрудников на наличие необычных запросов на подключение или сообщений, которые могут быть ранним признаком целенаправленной атаки.
Помните, что, хотя социальные сети могут дать вам действительно полезную информацию, это всего лишь одна часть вашей головоломки по поиску угроз.
Другие источники OSINT
Публичные записи:
Общедоступные данные, такие как судебные иски, корпоративные записи и патентные заявки, могут дать представление об инфраструктуре компании, партнерских отношениях и предстоящих проектах.
Например, если компания подала патент на новый инструмент, преступники могут использовать информацию, содержащуюся в патенте, для создания фишинговых кампаний, нацеленных на сотрудников компании, что сделает их более эффективными в получении конфиденциальной информации или получении несанкционированного доступа.
Хотя доступность определенных типов данных зависит от страны, доступная информация все же может дать киберпреступникам преимущество. Компании должны быть осведомлены об общедоступной информации, принимать меры для защиты своих конфиденциальных данных и информировать своих сотрудников о важности кибербезопасности.
Правительственные отчеты:
Государственные учреждения часто публикуют отчеты об угрозах и нарушениях кибербезопасности. Эти отчеты могут предоставить информацию о новых уязвимостях, тенденциях взлома и группах субъектов угроз. Один из источников, к которым я обращаюсь за этими отчетами, — Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) .
Интернет-форумы:
Подпольные форумы и рынки даркнета — это места, где злоумышленники могут обсуждать свою тактику, делиться инструментами или продавать украденные данные.
Мониторинг этих платформ может обеспечить раннее предупреждение о потенциальных угрозах. Такие веб-сайты, как GitHub, также могут быть полезны, поскольку на них может размещаться общедоступный код, использующий определенные уязвимости.
Учитывайте этические последствия и потенциальные риски, связанные с доступом и взаимодействием с хакерскими форумами или рынками даркнета.
Инструменты для сбора OSINT
Существует множество инструментов для сбора и анализа OSINT. Вот несколько примеров:
Maltego : Maltego — это мощный инструмент OSINT для сбора данных и анализа ссылок. Он отлично подходит для визуализации сложных сетей и отношений между объектами, такими как люди, компании, домены, веб-сайты, IP-адреса и т. д. Одной из его самых мощных функций является способность собирать данные из нескольких источников с помощью небольших фрагментов кода, называемых преобразованиями.
Вот статья о том, как использовать Maltego для оценки поверхности атаки .
Spiderfoot : Spiderfoot — это инструмент автоматизированной разведки, который может собирать информацию об IP-адресах, доменных именах, адресах электронной почты и многом другом из сотен источников OSINT.
Вы можете использовать Spiderfoot для автоматического сбора информации о потенциальных субъектах угроз или их инфраструктуре.
Shodan : Shodan может найти определенные устройства, подключенные к Интернету, включая серверы, маршрутизаторы, веб-камеры и даже интеллектуальные устройства.
Вы можете использовать Shodan для поиска незащищенных или уязвимых устройств, которыми могут воспользоваться злоумышленники. Его также можно использовать для исследования цифрового следа вашей организации и выявления любых незащищенных активов.
AlienVault OTX: AlienVault OTX — это платформа для обмена информацией об угрозах, на которой исследователи и специалисты по безопасности делятся своими выводами о потенциальных угрозах, атаках и уязвимостях. Он предоставляет среду для совместной работы, в которой пользователи могут создавать «импульсы» или наборы индикаторов компрометации (IoC), связанных с конкретными угрозами.
Вы можете использовать AlienVault, чтобы быть в курсе последних сведений об угрозах и использовать предоставленные IoC (такие как IP-адреса, домены, URL-адреса, хэши файлов и т. д.) для поиска угроз в вашей среде.
TweetDeck: TweetDeck — это панель инструментов для управления учетными записями Twitter, но она также может быть мощным инструментом для отслеживания ключевых слов, хэштегов или учетных записей в режиме реального времени.
Вы можете использовать TweetDeck для мониторинга обсуждений, связанных с угрозами кибербезопасности, утечками данных или действиями хакеров, в режиме реального времени. Ниже приведен пример того, как сейчас выглядит мой TweetDeck.
Заключение
Сбор данных OSINT является важнейшим компонентом поиска угроз. Вы можете собирать данные, необходимые для выявления потенциальных угроз и уязвимостей, используя поисковые системы, платформы социальных сетей и такие инструменты, как Maltego и SpiderFoot.
Следите за следующей статьей из нашей серии об OSINT для поиска угроз, где мы рассмотрим, как анализировать и интерпретировать данные OSINT, собранные в этой статье.
Удачного ОСИНТА!