การรวบรวม OSINT เพื่อการล่าภัยคุกคาม

May 16 2023
สวัสดีชาวไซเบอร์! ยินดีต้อนรับกลับสู่ OSINT สำหรับซีรี่ส์การล่าภัยคุกคาม ในบทความแรก ฉันได้ให้ภาพรวมของ OSINT และความสำคัญในการตามล่าภัยคุกคาม

สวัสดีชาวไซเบอร์! ยินดีต้อนรับกลับสู่ OSINT สำหรับซีรี่ส์การล่าภัยคุกคาม ใน บทความแรกฉันได้ให้ภาพรวมของ OSINT และความสำคัญในการตามล่าภัยคุกคาม วันนี้เราจะมุ่งเน้นไปที่เครื่องมือและเทคนิคที่ใช้ในระหว่างกระบวนการรวบรวม OSINT โดยเน้นที่การตามล่าภัยคุกคาม

นี่คือภาพรวมโดยย่อของสิ่งที่เราจะกล่าวถึงในบทความนี้

  1. เครื่องมือค้นหา
  2. แพลตฟอร์มโซเชียลมีเดีย
  3. บันทึกสาธารณะ รายงาน และฟอรัม
  4. เครื่องมือ OSINT

เครื่องมือค้นหา

เสิร์ชเอ็นจิ้นเป็นหนึ่งในเครื่องมือที่ใช้บ่อยและมีประสิทธิภาพมากที่สุดในการรวบรวม OSINT มาดูเทคนิคบางอย่างที่คุณสามารถใช้เพื่อให้ได้ผลลัพธ์ที่ดีขึ้นเมื่อใช้เครื่องมือค้นหาเพื่อตามล่าภัยคุกคาม:

ใช้ Google Dorks:

Google Dorking เป็นเทคนิคที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ทุกคนควรรู้ คุณอาจคิดว่า Google Dorks เป็นโอเปอเรเตอร์การค้นหาขั้นสูงที่ช่วยคุณค้นหาข้อมูลเฉพาะที่อาจถูกซ่อนไว้หรือค้นหาได้ยาก

ด้านล่างนี้เป็นตัวอย่างวิธีการใช้ Dorks ในการตามล่าภัยคุกคาม:

  1. ค้นพบเซิร์ฟเวอร์ที่มีช่องโหว่:คุณสามารถระบุเซิร์ฟเวอร์ที่มีช่องโหว่ที่รู้จักโดยการค้นหาคำหลักเฉพาะ ตัวอย่างเช่น คุณสามารถใช้ Google Dork เช่นinurl:”php?=id1"เพื่อค้นหาหน้าเว็บที่มีช่องโหว่ในการฉีด SQL (SQLi)
  2. ค้นหาข้อมูลที่ละเอียดอ่อนที่เปิดเผย:สามารถใช้ Google Dorks เพื่อค้นหาข้อมูลที่ละเอียดอ่อนที่ไม่ควรออนไลน์ เช่น เอกสารสาธารณะที่มีรหัสผ่านหรือคีย์ส่วนตัว คุณสามารถใช้ Dork เช่นfiletype:pdf “confidential”เพื่อค้นหา PDF ลับที่สาธารณะสามารถเข้าถึงได้
  3. ตรวจสอบการรั่วไหลของข้อมูล:คุณสามารถใช้ Google Dorks เพื่อค้นหาข้อมูลที่รั่วไหลเกี่ยวกับองค์กรของคุณ ตัวอย่างเช่น คุณสามารถใช้ Dork เช่น"ชื่อบริษัท" "ข้อมูลลับ" site:pastebin.comเพื่อค้นหาไฟล์ข้อมูลลับจากบริษัทของคุณที่อัปโหลดไปยัง Pastebin
  4. ตรวจจับการทำให้เสียโฉม:อาชญากรไซเบอร์มักจะทำให้เว็บไซต์เสียหายด้วยวลีหรือแท็กที่เฉพาะเจาะจง ตัวอย่างเช่น เราสามารถใช้ Dork เช่นintext:”Hacked by” site:yourwebsite.comเพื่อระบุว่าองค์กรของเราถูกโจมตีหรือไม่
  • เว็บไซต์:เพื่อค้นหาภายในเว็บไซต์เฉพาะ
  • intext : เพื่อค้นหาคำหลักเฉพาะภายในหน้า
  • ประเภทไฟล์:เพื่อค้นหาประเภทไฟล์เฉพาะ (PDF, Excel, Word)
  • ext:เพื่อดึงไฟล์ที่มีนามสกุลเฉพาะ (docx, txt, log, bk)
  • inurl:เพื่อค้นหา URL ที่มีลำดับอักขระเฉพาะ
  • intitle:เพื่อค้นหาหน้าโดยใช้ข้อความเฉพาะในชื่อหน้า
  • แคช:เพื่อดึงเว็บไซต์เวอร์ชันแคช (เก่ากว่า)
  • - (ลบ):เพื่อไม่รวมผลลัพธ์เฉพาะจากการค้นหา

รวม Dorks ที่แตกต่างกันเพื่อปรับปรุงผลลัพธ์ของคุณ:

การรวม dorks ที่แตกต่างกันจะให้ผลลัพธ์ที่ดีและตรงประเด็นมากขึ้น เราต้องการค้นหาไฟล์ PDF ที่โฮสต์บนเว็บไซต์ขององค์กรของเรา ในกรณีนั้น เราสามารถใช้ Dorks site:yourwebsite.com filetype:PDF ต่อไปนี้

ใช้เครื่องมือค้นหาหลายรายการ:

แม้ว่าโดยทั่วไปแล้ว Dorking จะเชื่อมโยงกับ Google แต่เครื่องมือค้นหาต่างๆ ก็มีชุดตัวดำเนินการค้นหาขั้นสูงของตนเองซึ่งอาจให้ผลลัพธ์ที่แตกต่างกัน ดังนั้นจึงควรลองใช้เครื่องมือค้นหาหลายตัวเพื่อให้ได้ผลลัพธ์ที่ครอบคลุมมากขึ้น

ใช้เครื่องมือเช่น Google Alerts:

คุณสามารถสร้าง Google Alerts เพื่อแจ้งให้คุณทราบเมื่อพบผลการค้นหาใหม่สำหรับคำหลักหรือวลีเฉพาะ ทำให้ง่ายต่อการตรวจสอบภัยคุกคามใหม่

ตัวอย่างเช่น มาสร้าง Google Alert เพื่อตรวจสอบการเสียโฉมที่อาจเกิดขึ้น

ก. ไปที่https://www.google.com/alerts

ข. ป้อนคำหลักหรือ Dorks ของคุณในแถบค้นหา ฉันจะใช้ intext:”ถูกแฮ็กโดย” site:yourwebsite.com

ค. คุณสามารถปรับแต่งการแจ้งเตือนของคุณได้โดยคลิกปุ่ม "แสดงตัวเลือก"

ง. เมื่อคุณพร้อม ให้เพิ่มที่อยู่อีเมลของคุณแล้วคลิกสร้างการแจ้งเตือน

แพลตฟอร์มโซเชียลมีเดีย

Twitter : Twitter เป็นแหล่งรวมสำหรับการสนทนาเกี่ยวกับความปลอดภัยในโลกไซเบอร์ อาชญากรไซเบอร์มักคุยโม้เกี่ยวกับการแฮ็กหรือแบ่งปันข้อมูลรั่วไหลที่นี่ คุณสามารถค้นหาข้อมูลที่มีค่าได้โดยการตรวจสอบแฮชแท็ก บัญชี หรือคำหลักที่เกี่ยวข้องกับองค์กรของคุณ

เคล็ดลับ:ตั้งค่าการแจ้งเตือนสำหรับคำต่างๆ เช่น “YourCompany hack”, “YourCompany data leak” หรือแฮชแท็กเฉพาะที่แฮ็กเกอร์ใช้กันทั่วไป เช่น #OpYourCompany

Reddit: Subreddits เช่นr/netsec , r/hacking , r/darknetและr/cybersecurityเป็นเพียงส่วนหนึ่งของ subreddits ที่กล่าวถึงหัวข้อที่เกี่ยวข้องกับความปลอดภัยในโลกไซเบอร์ ช่องทางเหล่านี้สามารถใช้เพื่อระบุตัวบ่งชี้เริ่มต้นของภัยคุกคามหรือการละเมิด

เคล็ดลับ:ตรวจสอบโพสต์ที่กล่าวถึงองค์กรหรือผลิตภัณฑ์ของคุณและสมัครรับข้อมูลย่อยที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์เพื่อติดตามภัยคุกคามและแนวโน้มล่าสุด

Mastodon : Mastodon ได้รับความเกี่ยวข้องอย่างมากในช่วงไม่กี่เดือนที่ผ่านมา และยังสามารถเป็นเครื่องมือที่เป็นประโยชน์สำหรับการตามล่าภัยคุกคาม

เคล็ดลับ:เข้าร่วม 'อินสแตนซ์' ที่เกี่ยวข้องกับเทคโนโลยีและความปลอดภัยทางไซเบอร์ เช่นioc.exchangeและinfosec.exchangeเพื่อติดตามข่าวสารล่าสุด คุณยังสามารถใช้ตัวเลือกการค้นหาขั้นสูงของ Mastodon เพื่อค้นหาการกล่าวถึงองค์กรของคุณ

LinkedIn: LinkedIn เป็นไซต์เครือข่ายมืออาชีพ แต่ยังสามารถให้ข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้น ตัวอย่างเช่น คำขอที่หลั่งไหลเข้ามาอย่างฉับพลันจากผู้คนในอุตสาหกรรมเดียวกันอาจบ่งบอกถึงความพยายามในการฟิชชิ่งแบบสเปียร์ที่กำลังจะเกิดขึ้น

เคล็ดลับ:ตรวจสอบบัญชีพนักงานของคุณสำหรับคำขอเชื่อมต่อหรือข้อความที่ผิดปกติ ซึ่งอาจเป็นตัวบ่งชี้การโจมตีเป้าหมายในระยะแรก

โปรดจำไว้ว่าแม้ว่าสื่อสังคมออนไลน์จะให้ข้อมูลที่เป็นประโยชน์แก่คุณ แต่ก็เป็นเพียงส่วนหนึ่งของปริศนาตามล่าภัยคุกคามของคุณ

แหล่งที่มาอื่นๆ ของ OSINT

บันทึกสาธารณะ:

ข้อมูลที่เปิดเผยต่อสาธารณะ เช่น การยื่นฟ้องในศาล บันทึกขององค์กร และการยื่นขอสิทธิบัตรสามารถให้ข้อมูลเชิงลึกเกี่ยวกับโครงสร้างพื้นฐานของบริษัท ความร่วมมือ และโครงการที่กำลังจะเกิดขึ้น

ตัวอย่างเช่น หากบริษัทแห่งหนึ่งยื่นจดสิทธิบัตรสำหรับเครื่องมือใหม่ อาชญากรสามารถใช้ข้อมูลในสิทธิบัตรเพื่อสร้างแคมเปญ Phishing เพื่อกำหนดเป้าหมายเป็นพนักงานของบริษัท ทำให้พวกเขามีประสิทธิภาพมากขึ้นในการรับข้อมูลที่ละเอียดอ่อนหรือเข้าถึงโดยไม่ได้รับอนุญาต

แม้ว่าความพร้อมใช้งานของข้อมูลบางประเภทจะแตกต่างกันไปตามแต่ละประเทศ แต่ข้อมูลที่สามารถเข้าถึงได้ยังคงทำให้อาชญากรไซเบอร์ได้เปรียบ บริษัทต้องตระหนักถึงข้อมูลที่เปิดเผยต่อสาธารณะ ดำเนินการเพื่อรักษาความปลอดภัยของข้อมูลที่ละเอียดอ่อน และให้ความรู้แก่พนักงานเกี่ยวกับความสำคัญของความปลอดภัยทางไซเบอร์

รายงานของรัฐบาล:

หน่วยงานรัฐบาลมักเผยแพร่รายงานเกี่ยวกับภัยคุกคามและการละเมิดความปลอดภัยทางไซเบอร์ รายงานเหล่านี้สามารถให้ข้อมูลเกี่ยวกับช่องโหว่ใหม่ แนวโน้มการแฮ็ก และกลุ่มผู้คุกคาม หนึ่งในแหล่งที่มาของฉันสำหรับรายงานเหล่านี้คือUS Cybersecurity and Infrastructure Security Agency (CISA )

ฟอรัมออนไลน์:

ฟอรัมใต้ดินและตลาดดาร์กเน็ตเป็นที่ที่ผู้คุกคามอาจหารือเกี่ยวกับกลยุทธ์ แบ่งปันเครื่องมือ หรือขายข้อมูลที่ขโมยมา

การตรวจสอบแพลตฟอร์มเหล่านี้สามารถแจ้งเตือนล่วงหน้าถึงภัยคุกคามที่อาจเกิดขึ้น เว็บไซต์เช่น GitHub ก็มีประโยชน์เช่นกัน เนื่องจากอาจโฮสต์โค้ดที่เปิดเผยต่อสาธารณะซึ่งใช้ประโยชน์จากช่องโหว่เฉพาะ

พิจารณานัยทางจริยธรรมและความเสี่ยงที่อาจเกิดขึ้นที่เกี่ยวข้องกับการเข้าถึงและการโต้ตอบกับฟอรัมของแฮ็กเกอร์หรือตลาดมืด

เครื่องมือสำหรับรวบรวม OSINT

มีเครื่องมือมากมายสำหรับรวบรวมและวิเคราะห์ OSINT นี่เป็นเพียงตัวอย่างบางส่วน:

Maltego : Maltegoเป็นเครื่องมือ OSINT ที่ทรงพลังสำหรับการขุดข้อมูลและการวิเคราะห์ลิงก์ เหมาะอย่างยิ่งสำหรับการแสดงภาพเครือข่ายที่ซับซ้อนและความสัมพันธ์ระหว่างเอนทิตีต่างๆ เช่น บุคคล บริษัท โดเมน เว็บไซต์ ที่อยู่ IP และอื่นๆ หนึ่งในคุณสมบัติที่ทรงพลังที่สุดคือความสามารถในการรวบรวมข้อมูลจากหลายแหล่งด้วยโค้ดชิ้นเล็กๆ ที่เรียกว่า Transforms

ต่อไปนี้เป็นบทความเกี่ยวกับวิธีใช้Maltego สำหรับการประเมินพื้นผิวการโจมตี

Spiderfoot : Spiderfootเป็นเครื่องมือลาดตระเวนอัตโนมัติที่สามารถรวบรวมข้อมูลเกี่ยวกับ IP ชื่อโดเมน ที่อยู่อีเมล และอื่นๆ จากแหล่งที่มาของ OSINT หลายร้อยแห่ง

คุณสามารถใช้ Spiderfoot เพื่อรวบรวมข้อมูลเกี่ยวกับผู้ที่อาจเป็นภัยคุกคามหรือโครงสร้างพื้นฐานได้โดยอัตโนมัติ

Shodan : Shodanสามารถค้นหาอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตได้ เช่น เซิร์ฟเวอร์ เราเตอร์ เว็บแคม และแม้แต่อุปกรณ์อัจฉริยะ

คุณสามารถใช้ Shodan เพื่อค้นหาอุปกรณ์ที่ไม่มีการป้องกันหรือมีช่องโหว่ที่ผู้คุกคามสามารถใช้ประโยชน์ได้ นอกจากนี้ยังสามารถใช้เพื่อตรวจสอบรอยเท้าทางดิจิทัลขององค์กรของคุณและระบุสินทรัพย์ที่ถูกเปิดเผย

AlienVault OTX: AlienVault OTXเป็นแพลตฟอร์มแบ่งปันข้อมูลภัยคุกคามที่นักวิจัยและผู้เชี่ยวชาญด้านความปลอดภัยแบ่งปันสิ่งที่ค้นพบเกี่ยวกับภัยคุกคาม การโจมตี และช่องโหว่ที่อาจเกิดขึ้น มีสภาพแวดล้อมการทำงานร่วมกันที่ผู้ใช้สามารถสร้าง "พัลส์" หรือคอลเลกชันของตัวบ่งชี้การประนีประนอม (IoCs) ที่เกี่ยวข้องกับภัยคุกคามเฉพาะ

คุณสามารถใช้ AlienVault เพื่อรับการอัปเดตด้วยข่าวกรองภัยคุกคามล่าสุด และใช้ IoC ที่ให้มา (เช่น ที่อยู่ IP, โดเมน, URL, แฮชไฟล์ ฯลฯ) เพื่อค้นหาภัยคุกคามในสภาพแวดล้อมของคุณ

TweetDeck: TweetDeckเป็นแอปพลิเคชันแดชบอร์ดสำหรับจัดการบัญชี Twitter แต่ยังสามารถเป็นเครื่องมือที่มีประสิทธิภาพสำหรับการติดตามคำหลัก แฮชแท็ก หรือบัญชีแบบเรียลไทม์

คุณสามารถใช้ TweetDeck เพื่อตรวจสอบการสนทนาที่เกี่ยวข้องกับภัยคุกคามความปลอดภัยทางไซเบอร์ การรั่วไหลของข้อมูล หรือกิจกรรมของแฮ็กเกอร์ได้แบบเรียลไทม์ ด้านล่างนี้คือตัวอย่างหน้าตาของ TweetDeck ของฉันในตอนนี้

บทสรุป

การรวบรวม OSINT เป็นองค์ประกอบสำคัญของการตามล่าภัยคุกคาม คุณสามารถรวบรวมข้อมูลที่จำเป็นเพื่อระบุภัยคุกคามและช่องโหว่ที่อาจเกิดขึ้นโดยใช้เครื่องมือค้นหา แพลตฟอร์มโซเชียลมีเดีย และเครื่องมือต่างๆ เช่น Maltego และ SpiderFoot

โปรดติดตามบทความถัดไปในชุดของเราเกี่ยวกับ OSINT สำหรับการตามล่าภัยคุกคาม ซึ่งเราจะสำรวจวิธีวิเคราะห์และตีความข้อมูล OSINT ที่รวบรวมไว้ในบทความนี้

ขอให้มีความสุข!