การรวบรวม OSINT เพื่อการล่าภัยคุกคาม
สวัสดีชาวไซเบอร์! ยินดีต้อนรับกลับสู่ OSINT สำหรับซีรี่ส์การล่าภัยคุกคาม ใน บทความแรกฉันได้ให้ภาพรวมของ OSINT และความสำคัญในการตามล่าภัยคุกคาม วันนี้เราจะมุ่งเน้นไปที่เครื่องมือและเทคนิคที่ใช้ในระหว่างกระบวนการรวบรวม OSINT โดยเน้นที่การตามล่าภัยคุกคาม
นี่คือภาพรวมโดยย่อของสิ่งที่เราจะกล่าวถึงในบทความนี้
- เครื่องมือค้นหา
- แพลตฟอร์มโซเชียลมีเดีย
- บันทึกสาธารณะ รายงาน และฟอรัม
- เครื่องมือ OSINT
เครื่องมือค้นหา
เสิร์ชเอ็นจิ้นเป็นหนึ่งในเครื่องมือที่ใช้บ่อยและมีประสิทธิภาพมากที่สุดในการรวบรวม OSINT มาดูเทคนิคบางอย่างที่คุณสามารถใช้เพื่อให้ได้ผลลัพธ์ที่ดีขึ้นเมื่อใช้เครื่องมือค้นหาเพื่อตามล่าภัยคุกคาม:
ใช้ Google Dorks:
Google Dorking เป็นเทคนิคที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ทุกคนควรรู้ คุณอาจคิดว่า Google Dorks เป็นโอเปอเรเตอร์การค้นหาขั้นสูงที่ช่วยคุณค้นหาข้อมูลเฉพาะที่อาจถูกซ่อนไว้หรือค้นหาได้ยาก
ด้านล่างนี้เป็นตัวอย่างวิธีการใช้ Dorks ในการตามล่าภัยคุกคาม:
- ค้นพบเซิร์ฟเวอร์ที่มีช่องโหว่:คุณสามารถระบุเซิร์ฟเวอร์ที่มีช่องโหว่ที่รู้จักโดยการค้นหาคำหลักเฉพาะ ตัวอย่างเช่น คุณสามารถใช้ Google Dork เช่นinurl:”php?=id1"เพื่อค้นหาหน้าเว็บที่มีช่องโหว่ในการฉีด SQL (SQLi)
- ค้นหาข้อมูลที่ละเอียดอ่อนที่เปิดเผย:สามารถใช้ Google Dorks เพื่อค้นหาข้อมูลที่ละเอียดอ่อนที่ไม่ควรออนไลน์ เช่น เอกสารสาธารณะที่มีรหัสผ่านหรือคีย์ส่วนตัว คุณสามารถใช้ Dork เช่นfiletype:pdf “confidential”เพื่อค้นหา PDF ลับที่สาธารณะสามารถเข้าถึงได้
- ตรวจสอบการรั่วไหลของข้อมูล:คุณสามารถใช้ Google Dorks เพื่อค้นหาข้อมูลที่รั่วไหลเกี่ยวกับองค์กรของคุณ ตัวอย่างเช่น คุณสามารถใช้ Dork เช่น"ชื่อบริษัท" "ข้อมูลลับ" site:pastebin.comเพื่อค้นหาไฟล์ข้อมูลลับจากบริษัทของคุณที่อัปโหลดไปยัง Pastebin
- ตรวจจับการทำให้เสียโฉม:อาชญากรไซเบอร์มักจะทำให้เว็บไซต์เสียหายด้วยวลีหรือแท็กที่เฉพาะเจาะจง ตัวอย่างเช่น เราสามารถใช้ Dork เช่นintext:”Hacked by” site:yourwebsite.comเพื่อระบุว่าองค์กรของเราถูกโจมตีหรือไม่
- เว็บไซต์:เพื่อค้นหาภายในเว็บไซต์เฉพาะ
- intext : เพื่อค้นหาคำหลักเฉพาะภายในหน้า
- ประเภทไฟล์:เพื่อค้นหาประเภทไฟล์เฉพาะ (PDF, Excel, Word)
- ext:เพื่อดึงไฟล์ที่มีนามสกุลเฉพาะ (docx, txt, log, bk)
- inurl:เพื่อค้นหา URL ที่มีลำดับอักขระเฉพาะ
- intitle:เพื่อค้นหาหน้าโดยใช้ข้อความเฉพาะในชื่อหน้า
- แคช:เพื่อดึงเว็บไซต์เวอร์ชันแคช (เก่ากว่า)
- - (ลบ):เพื่อไม่รวมผลลัพธ์เฉพาะจากการค้นหา
รวม Dorks ที่แตกต่างกันเพื่อปรับปรุงผลลัพธ์ของคุณ:
การรวม dorks ที่แตกต่างกันจะให้ผลลัพธ์ที่ดีและตรงประเด็นมากขึ้น เราต้องการค้นหาไฟล์ PDF ที่โฮสต์บนเว็บไซต์ขององค์กรของเรา ในกรณีนั้น เราสามารถใช้ Dorks site:yourwebsite.com filetype:PDF ต่อไปนี้
ใช้เครื่องมือค้นหาหลายรายการ:
แม้ว่าโดยทั่วไปแล้ว Dorking จะเชื่อมโยงกับ Google แต่เครื่องมือค้นหาต่างๆ ก็มีชุดตัวดำเนินการค้นหาขั้นสูงของตนเองซึ่งอาจให้ผลลัพธ์ที่แตกต่างกัน ดังนั้นจึงควรลองใช้เครื่องมือค้นหาหลายตัวเพื่อให้ได้ผลลัพธ์ที่ครอบคลุมมากขึ้น
ใช้เครื่องมือเช่น Google Alerts:
คุณสามารถสร้าง Google Alerts เพื่อแจ้งให้คุณทราบเมื่อพบผลการค้นหาใหม่สำหรับคำหลักหรือวลีเฉพาะ ทำให้ง่ายต่อการตรวจสอบภัยคุกคามใหม่
ตัวอย่างเช่น มาสร้าง Google Alert เพื่อตรวจสอบการเสียโฉมที่อาจเกิดขึ้น
ก. ไปที่https://www.google.com/alerts
ข. ป้อนคำหลักหรือ Dorks ของคุณในแถบค้นหา ฉันจะใช้ intext:”ถูกแฮ็กโดย” site:yourwebsite.com
ค. คุณสามารถปรับแต่งการแจ้งเตือนของคุณได้โดยคลิกปุ่ม "แสดงตัวเลือก"
ง. เมื่อคุณพร้อม ให้เพิ่มที่อยู่อีเมลของคุณแล้วคลิกสร้างการแจ้งเตือน
แพลตฟอร์มโซเชียลมีเดีย
Twitter : Twitter เป็นแหล่งรวมสำหรับการสนทนาเกี่ยวกับความปลอดภัยในโลกไซเบอร์ อาชญากรไซเบอร์มักคุยโม้เกี่ยวกับการแฮ็กหรือแบ่งปันข้อมูลรั่วไหลที่นี่ คุณสามารถค้นหาข้อมูลที่มีค่าได้โดยการตรวจสอบแฮชแท็ก บัญชี หรือคำหลักที่เกี่ยวข้องกับองค์กรของคุณ
เคล็ดลับ:ตั้งค่าการแจ้งเตือนสำหรับคำต่างๆ เช่น “YourCompany hack”, “YourCompany data leak” หรือแฮชแท็กเฉพาะที่แฮ็กเกอร์ใช้กันทั่วไป เช่น #OpYourCompany
Reddit: Subreddits เช่นr/netsec , r/hacking , r/darknetและr/cybersecurityเป็นเพียงส่วนหนึ่งของ subreddits ที่กล่าวถึงหัวข้อที่เกี่ยวข้องกับความปลอดภัยในโลกไซเบอร์ ช่องทางเหล่านี้สามารถใช้เพื่อระบุตัวบ่งชี้เริ่มต้นของภัยคุกคามหรือการละเมิด
เคล็ดลับ:ตรวจสอบโพสต์ที่กล่าวถึงองค์กรหรือผลิตภัณฑ์ของคุณและสมัครรับข้อมูลย่อยที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์เพื่อติดตามภัยคุกคามและแนวโน้มล่าสุด
Mastodon : Mastodon ได้รับความเกี่ยวข้องอย่างมากในช่วงไม่กี่เดือนที่ผ่านมา และยังสามารถเป็นเครื่องมือที่เป็นประโยชน์สำหรับการตามล่าภัยคุกคาม
เคล็ดลับ:เข้าร่วม 'อินสแตนซ์' ที่เกี่ยวข้องกับเทคโนโลยีและความปลอดภัยทางไซเบอร์ เช่นioc.exchangeและinfosec.exchangeเพื่อติดตามข่าวสารล่าสุด คุณยังสามารถใช้ตัวเลือกการค้นหาขั้นสูงของ Mastodon เพื่อค้นหาการกล่าวถึงองค์กรของคุณ
LinkedIn: LinkedIn เป็นไซต์เครือข่ายมืออาชีพ แต่ยังสามารถให้ข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้น ตัวอย่างเช่น คำขอที่หลั่งไหลเข้ามาอย่างฉับพลันจากผู้คนในอุตสาหกรรมเดียวกันอาจบ่งบอกถึงความพยายามในการฟิชชิ่งแบบสเปียร์ที่กำลังจะเกิดขึ้น
เคล็ดลับ:ตรวจสอบบัญชีพนักงานของคุณสำหรับคำขอเชื่อมต่อหรือข้อความที่ผิดปกติ ซึ่งอาจเป็นตัวบ่งชี้การโจมตีเป้าหมายในระยะแรก
โปรดจำไว้ว่าแม้ว่าสื่อสังคมออนไลน์จะให้ข้อมูลที่เป็นประโยชน์แก่คุณ แต่ก็เป็นเพียงส่วนหนึ่งของปริศนาตามล่าภัยคุกคามของคุณ
แหล่งที่มาอื่นๆ ของ OSINT
บันทึกสาธารณะ:
ข้อมูลที่เปิดเผยต่อสาธารณะ เช่น การยื่นฟ้องในศาล บันทึกขององค์กร และการยื่นขอสิทธิบัตรสามารถให้ข้อมูลเชิงลึกเกี่ยวกับโครงสร้างพื้นฐานของบริษัท ความร่วมมือ และโครงการที่กำลังจะเกิดขึ้น
ตัวอย่างเช่น หากบริษัทแห่งหนึ่งยื่นจดสิทธิบัตรสำหรับเครื่องมือใหม่ อาชญากรสามารถใช้ข้อมูลในสิทธิบัตรเพื่อสร้างแคมเปญ Phishing เพื่อกำหนดเป้าหมายเป็นพนักงานของบริษัท ทำให้พวกเขามีประสิทธิภาพมากขึ้นในการรับข้อมูลที่ละเอียดอ่อนหรือเข้าถึงโดยไม่ได้รับอนุญาต
แม้ว่าความพร้อมใช้งานของข้อมูลบางประเภทจะแตกต่างกันไปตามแต่ละประเทศ แต่ข้อมูลที่สามารถเข้าถึงได้ยังคงทำให้อาชญากรไซเบอร์ได้เปรียบ บริษัทต้องตระหนักถึงข้อมูลที่เปิดเผยต่อสาธารณะ ดำเนินการเพื่อรักษาความปลอดภัยของข้อมูลที่ละเอียดอ่อน และให้ความรู้แก่พนักงานเกี่ยวกับความสำคัญของความปลอดภัยทางไซเบอร์
รายงานของรัฐบาล:
หน่วยงานรัฐบาลมักเผยแพร่รายงานเกี่ยวกับภัยคุกคามและการละเมิดความปลอดภัยทางไซเบอร์ รายงานเหล่านี้สามารถให้ข้อมูลเกี่ยวกับช่องโหว่ใหม่ แนวโน้มการแฮ็ก และกลุ่มผู้คุกคาม หนึ่งในแหล่งที่มาของฉันสำหรับรายงานเหล่านี้คือUS Cybersecurity and Infrastructure Security Agency (CISA )
ฟอรัมออนไลน์:
ฟอรัมใต้ดินและตลาดดาร์กเน็ตเป็นที่ที่ผู้คุกคามอาจหารือเกี่ยวกับกลยุทธ์ แบ่งปันเครื่องมือ หรือขายข้อมูลที่ขโมยมา
การตรวจสอบแพลตฟอร์มเหล่านี้สามารถแจ้งเตือนล่วงหน้าถึงภัยคุกคามที่อาจเกิดขึ้น เว็บไซต์เช่น GitHub ก็มีประโยชน์เช่นกัน เนื่องจากอาจโฮสต์โค้ดที่เปิดเผยต่อสาธารณะซึ่งใช้ประโยชน์จากช่องโหว่เฉพาะ
พิจารณานัยทางจริยธรรมและความเสี่ยงที่อาจเกิดขึ้นที่เกี่ยวข้องกับการเข้าถึงและการโต้ตอบกับฟอรัมของแฮ็กเกอร์หรือตลาดมืด
เครื่องมือสำหรับรวบรวม OSINT
มีเครื่องมือมากมายสำหรับรวบรวมและวิเคราะห์ OSINT นี่เป็นเพียงตัวอย่างบางส่วน:
Maltego : Maltegoเป็นเครื่องมือ OSINT ที่ทรงพลังสำหรับการขุดข้อมูลและการวิเคราะห์ลิงก์ เหมาะอย่างยิ่งสำหรับการแสดงภาพเครือข่ายที่ซับซ้อนและความสัมพันธ์ระหว่างเอนทิตีต่างๆ เช่น บุคคล บริษัท โดเมน เว็บไซต์ ที่อยู่ IP และอื่นๆ หนึ่งในคุณสมบัติที่ทรงพลังที่สุดคือความสามารถในการรวบรวมข้อมูลจากหลายแหล่งด้วยโค้ดชิ้นเล็กๆ ที่เรียกว่า Transforms
ต่อไปนี้เป็นบทความเกี่ยวกับวิธีใช้Maltego สำหรับการประเมินพื้นผิวการโจมตี
Spiderfoot : Spiderfootเป็นเครื่องมือลาดตระเวนอัตโนมัติที่สามารถรวบรวมข้อมูลเกี่ยวกับ IP ชื่อโดเมน ที่อยู่อีเมล และอื่นๆ จากแหล่งที่มาของ OSINT หลายร้อยแห่ง
คุณสามารถใช้ Spiderfoot เพื่อรวบรวมข้อมูลเกี่ยวกับผู้ที่อาจเป็นภัยคุกคามหรือโครงสร้างพื้นฐานได้โดยอัตโนมัติ
Shodan : Shodanสามารถค้นหาอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตได้ เช่น เซิร์ฟเวอร์ เราเตอร์ เว็บแคม และแม้แต่อุปกรณ์อัจฉริยะ
คุณสามารถใช้ Shodan เพื่อค้นหาอุปกรณ์ที่ไม่มีการป้องกันหรือมีช่องโหว่ที่ผู้คุกคามสามารถใช้ประโยชน์ได้ นอกจากนี้ยังสามารถใช้เพื่อตรวจสอบรอยเท้าทางดิจิทัลขององค์กรของคุณและระบุสินทรัพย์ที่ถูกเปิดเผย
AlienVault OTX: AlienVault OTXเป็นแพลตฟอร์มแบ่งปันข้อมูลภัยคุกคามที่นักวิจัยและผู้เชี่ยวชาญด้านความปลอดภัยแบ่งปันสิ่งที่ค้นพบเกี่ยวกับภัยคุกคาม การโจมตี และช่องโหว่ที่อาจเกิดขึ้น มีสภาพแวดล้อมการทำงานร่วมกันที่ผู้ใช้สามารถสร้าง "พัลส์" หรือคอลเลกชันของตัวบ่งชี้การประนีประนอม (IoCs) ที่เกี่ยวข้องกับภัยคุกคามเฉพาะ
คุณสามารถใช้ AlienVault เพื่อรับการอัปเดตด้วยข่าวกรองภัยคุกคามล่าสุด และใช้ IoC ที่ให้มา (เช่น ที่อยู่ IP, โดเมน, URL, แฮชไฟล์ ฯลฯ) เพื่อค้นหาภัยคุกคามในสภาพแวดล้อมของคุณ
TweetDeck: TweetDeckเป็นแอปพลิเคชันแดชบอร์ดสำหรับจัดการบัญชี Twitter แต่ยังสามารถเป็นเครื่องมือที่มีประสิทธิภาพสำหรับการติดตามคำหลัก แฮชแท็ก หรือบัญชีแบบเรียลไทม์
คุณสามารถใช้ TweetDeck เพื่อตรวจสอบการสนทนาที่เกี่ยวข้องกับภัยคุกคามความปลอดภัยทางไซเบอร์ การรั่วไหลของข้อมูล หรือกิจกรรมของแฮ็กเกอร์ได้แบบเรียลไทม์ ด้านล่างนี้คือตัวอย่างหน้าตาของ TweetDeck ของฉันในตอนนี้
บทสรุป
การรวบรวม OSINT เป็นองค์ประกอบสำคัญของการตามล่าภัยคุกคาม คุณสามารถรวบรวมข้อมูลที่จำเป็นเพื่อระบุภัยคุกคามและช่องโหว่ที่อาจเกิดขึ้นโดยใช้เครื่องมือค้นหา แพลตฟอร์มโซเชียลมีเดีย และเครื่องมือต่างๆ เช่น Maltego และ SpiderFoot
โปรดติดตามบทความถัดไปในชุดของเราเกี่ยวกับ OSINT สำหรับการตามล่าภัยคุกคาม ซึ่งเราจะสำรวจวิธีวิเคราะห์และตีความข้อมูล OSINT ที่รวบรวมไว้ในบทความนี้
ขอให้มีความสุข!
![รายการที่เชื่อมโยงคืออะไร? [ส่วนที่ 1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)