Tehdit Avı için OSINT'in Toplanması
Merhaba, siber meraklıları! Tehdit avı için OSINT serisine tekrar hoş geldiniz. İlk makalede , size OSINT'e genel bir bakış ve onun tehdit avcılığındaki önemi hakkında bilgi verdim. Bugün OSINT toplama sürecinde kullanılan araçlara ve tekniklere odaklanarak tehdit avcılığına odaklanacağız.
İşte bu makalede tartışacaklarımıza hızlı bir genel bakış.
- Arama motorları
- Sosyal Medya Platformları
- Genel Kayıtlar, Raporlar ve Forumlar
- OSINT araçları
Arama motorları
Arama motorları, OSINT'i toplamak için en yaygın ve güçlü araçlar arasındadır. Tehdit avcılığı için arama motorlarını kullanırken daha iyi sonuçlar almak için kullanabileceğiniz bazı teknikleri gözden geçirelim:
Google Dorks'u kullanın:
Google Dorking, her siber güvenlik uzmanının bilmesi gereken bir tekniktir. Google Dorks'u, başka türlü gizlenebilecek veya bulunması zor olabilecek belirli bilgileri bulmanıza yardımcı olan gelişmiş arama operatörleri olarak düşünebilirsiniz.
Aşağıda, tehdit avı için Dorklardan nasıl yararlanılacağına dair bazı örnekler verilmiştir:
- Güvenlik Açığı Olan Sunucuları Keşfedin: Belirli anahtar sözcükleri arayarak bilinen güvenlik açıklarına sahip sunucuları belirleyebilirsiniz. Örneğin, potansiyel SQL enjeksiyon güvenlik açıkları (SQLi) içeren web sayfalarını bulmak için inurl:”php?=id1" gibi bir Google Dork kullanabilirsiniz .
- Açığa Çıkan Hassas Bilgileri Bulun: Google Dorks, şifreler veya özel anahtarlar içeren genel belgeler gibi çevrimiçi olmaması gereken hassas bilgileri bulmak için kullanılabilir. Herkesin erişebileceği gizli PDF'leri bulmak için filetype:pdf "gizli" gibi bir Dork kullanabilirsiniz .
- Veri Sızıntılarını İzleme: Kuruluşunuzla ilgili sızdırılmış bilgileri aramak için Google Dorks'u kullanabilirsiniz. Örneğin, şirketinizden Pastebin'e yüklenen Gizli dosyaları bulmak için "Şirket Adı" "gizli" site:pastebin.com gibi bir Dork kullanabilirsiniz .
- Tahrifatı Tespit Etme: Siber suçlular genellikle web sitelerini belirli ifadeler veya etiketlerle tahrif eder. Örneğin, kuruluşumuzun tahrif edilip edilmediğini belirlemek için intext:"Hacked by" site:yourwebsite.com gibi bir Dork kullanabiliriz .
- site: belirli bir web sitesinde arama yapmak için.
- intext : bir sayfada belirli anahtar kelimeleri aramak için
- filetype: belirli dosya türlerini (PDF, Excel, Word) aramak için.
- ext: belirli bir uzantıya sahip dosyaları (docx, txt, log, bk) almak için.
- inurl: belirli bir karakter dizisi içeren URL'leri aramak için.
- intitle: sayfa başlığında belirli bir metni kullanarak sayfaları aramak için.
- önbellek: bir web sitesinin önbelleğe alınmış (eski) sürümünü almak için.
- - (eksi): belirli sonuçları aramadan çıkarmak için.
Sonuçlarınızı iyileştirmek için farklı Dorkları birleştirin:
Farklı dorkları birleştirmek daha iyi ve daha alakalı sonuçlar sağlayacaktır. Kuruluşumuzun web sitesinde barındırılan PDF dosyalarını bulmak istiyoruz. Bu durumda, şu Dorks site:yourwebsite.com filetype:PDF'yi kullanabiliriz .
Birden fazla arama motoru kullanın:
Dorking genellikle Google ile ilişkilendirilse de, farklı arama motorlarının farklı sonuçlar sağlayabilen kendi gelişmiş arama operatörleri vardır, bu nedenle daha kapsamlı sonuçlar için birden çok arama motorunu denemek iyi bir fikirdir.
Google Alerts gibi araçları kullanın:
Belirli anahtar kelimeler veya ifadeler için yeni arama sonuçları bulunduğunda sizi bilgilendirmek için Google Alerts oluşturabilirsiniz, bu da yeni tehditlerin izlenmesini kolaylaştırır.
Örneğin, olası Tahribatları izlemek için bir Google Alert oluşturalım.
A. githttps://www.google.com/alerts
B. Anahtar kelimelerinizi veya Aptalları arama çubuğuna girin; Şu metni kullanacağım:”Hacked by” site:yourwebsite.com
C. “Seçenekleri Göster” düğmesine tıklayarak uyarılarınızı özelleştirebilirsiniz.
D. Hazır olduğunuzda, e-posta adresinizi ekleyin ve Uyarı Oluştur'a tıklayın.
Sosyal Medya Platformları
Twitter : Twitter, siber güvenlik tartışmaları için bir yuvadır. Siber suçlular genellikle bilgisayar korsanlığıyla övünür veya burada veri sızıntılarını paylaşır. Kuruluşunuzla ilgili belirli hashtag'leri, hesapları veya anahtar kelimeleri izleyerek değerli bilgilere ulaşabilirsiniz.
İpucu: "Şirketinizin hacklenmesi", "Şirketinizin veri sızıntısı" gibi terimler veya #OpYourCompany gibi bilgisayar korsanları tarafından yaygın olarak kullanılan belirli hashtag'ler için uyarılar ayarlayın.
Reddit: r/netsec , r/hacking , r/darknet ve r/cybersecurity gibi alt dizinler, siber güvenlikle ilgili konuların tartışıldığı alt dizinlerden yalnızca birkaçıdır. Bu kanallar, tehditlerin veya ihlallerin erken göstergelerini sağlamak için kullanılabilir.
İpucu: Kuruluşunuzdan veya ürünlerinizden bahseden gönderileri izleyin ve en son tehditleri ve eğilimleri izlemek için siber güvenlikle ilgili alt dizinlere abone olun.
Mastodon : Mastodon son aylarda çok fazla önem kazandı ve ayrıca tehdit avcılığı için yararlı bir araç olabilir.
İpucu: En son haberlerden haberdar olmak için ioc.exchange ve infosec.exchange gibi teknoloji ve siber güvenlikle ilgili ilgili 'örneklere' katılın . Kuruluşunuzdan bahsedenleri aramak için Mastodon'un gelişmiş arama seçeneklerini de kullanabilirsiniz.
LinkedIn: LinkedIn, profesyonel bir ağ sitesidir, ancak potansiyel tehditlere ilişkin içgörüler de sağlayabilir. Örneğin, aynı sektördeki kişilerden gelen ani bir istek akışı, yaklaşan bir hedefli kimlik avı girişimine işaret edebilir.
İpucu: Hedefli bir saldırının erken bir göstergesi olabilecek olağandışı bağlantı istekleri veya mesajları için çalışanlarınızın hesaplarını izleyin.
Sosyal medyanın size ciddi anlamda yararlı bilgiler sağlayabilse de, tehdit avcılığı yapbozunuzun yalnızca bir parçası olduğunu unutmayın.
Diğer OSINT Kaynakları
Genel Kayıtlar:
Mahkeme dosyaları, kurumsal kayıtlar ve patent başvuruları gibi halka açık veriler, bir şirketin altyapısı, ortaklıkları ve yaklaşan projeleri hakkında fikir verebilir.
Örneğin, bir şirket yeni bir araç için patent başvurusunda bulunduysa, suçlular patentteki bilgileri şirket çalışanlarını hedef alan Kimlik Avı kampanyaları oluşturmak için kullanabilir, bu da onların hassas bilgileri elde etme veya yetkisiz erişim elde etme konusunda daha etkili olmalarını sağlar.
Belirli veri türlerinin kullanılabilirliği ülkeye göre değişiklik gösterse de erişilebilir bilgiler siber suçlulara yine de avantaj sağlayabilir. Şirketler, halka açık bilgilerin farkında olmalı, hassas verilerini güvence altına almak için adımlar atmalı ve çalışanlarını siber güvenliğin önemi konusunda eğitmelidir.
Hükümet Raporları:
Devlet kurumları genellikle siber güvenlik tehditleri ve ihlalleri hakkında raporlar yayınlar. Bu raporlar, yeni güvenlik açıkları, bilgisayar korsanlığı eğilimleri ve tehdit aktör grupları hakkında bilgi sağlayabilir. Bu raporlar için başvurduğum kaynaklardan biri, ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatıdır (CISA) .
Çevrimiçi Forumlar:
Yeraltı forumları ve karanlık ağ pazarları, tehdit aktörlerinin taktiklerini tartışabilecekleri, araçları paylaşabilecekleri veya çalınan verileri satabilecekleri yerlerdir.
Bu platformları izlemek, olası tehditlere karşı erken uyarılar sağlayabilir. GitHub gibi web siteleri de, belirli güvenlik açıklarından yararlanan herkese açık kod barındırabileceklerinden yardımcı olabilir.
Hacker forumlarına veya darknet pazarlarına erişme ve bunlarla etkileşim kurma ile ilgili etik sonuçları ve potansiyel riskleri göz önünde bulundurun.
OSINT Toplama Araçları
OSINT'i toplamak ve analiz etmek için birçok araç mevcuttur. Buradakiler sadece birkaç örnek:
Maltego : Maltego , veri madenciliği ve bağlantı analizi için güçlü bir OSINT aracıdır. İnsanlar, şirketler, etki alanları, web siteleri, IP adresleri vb. gibi varlıklar arasındaki karmaşık ağları ve ilişkileri görselleştirmek için mükemmeldir. En güçlü özelliklerinden biri, Dönüşüm adı verilen küçük kod parçalarıyla birden çok kaynaktan veri toplama yeteneğidir.
İşte Saldırı Yüzeyi Değerlendirmeleri için Maltego'nun nasıl kullanılacağı hakkında bir makale .
Spiderfoot : Spiderfoot , yüzlerce OSINT kaynağından IP'ler, alan adları, e-posta adresleri ve daha fazlası hakkında bilgi toplayabilen otomatik bir keşif aracıdır.
Potansiyel tehdit aktörleri veya altyapıları hakkında otomatik olarak istihbarat toplamak için Spiderfoot'u kullanabilirsiniz.
Shodan : Shodan , sunucular, yönlendiriciler, web kameraları ve hatta akıllı cihazlar dahil olmak üzere internete bağlı belirli cihazları bulabilir.
Tehdit aktörlerinin yararlanabileceği korumasız veya savunmasız cihazları bulmak için Shodan'ı kullanabilirsiniz. Kuruluşunuzun dijital ayak izini araştırmak ve açığa çıkan varlıkları belirlemek için de kullanılabilir.
AlienVault OTX: AlienVault OTX, araştırmacıların ve güvenlik uzmanlarının potansiyel tehditler, saldırılar ve güvenlik açıkları hakkındaki bulgularını paylaştığı bir tehdit istihbaratı paylaşım platformudur. Kullanıcıların belirli tehditlerle ilgili "darbeler" veya Uzlaşma Göstergeleri (IoC'ler) koleksiyonları oluşturabilecekleri işbirliğine dayalı bir ortam sağlar.
En son tehdit istihbaratıyla güncel kalmak için AlienVault'u kullanabilir ve ortamınızdaki tehditleri aramak için sağlanan IoC'leri (IP adresleri, etki alanları, URL'ler, dosya karmaları vb.) kullanabilirsiniz.
TweetDeck: TweetDeck , Twitter hesaplarını yönetmek için kullanılan bir pano uygulamasıdır, ancak anahtar kelimelerin, hashtag'lerin veya hesapların gerçek zamanlı takibi için de güçlü bir araç olabilir.
TweetDeck'i siber güvenlik tehditleri, veri sızıntıları veya hacker faaliyetleri ile ilgili tartışmaları gerçek zamanlı olarak izlemek için kullanabilirsiniz. Aşağıda, TweetDeck'imin şimdi nasıl göründüğünün bir örneği var.
Çözüm
OSINT'i toplamak, tehdit avcılığının kritik bir bileşenidir. Arama motorlarını, sosyal medya platformlarını ve Maltego ve SpiderFoot gibi araçları kullanarak potansiyel tehditleri ve güvenlik açıklarını belirlemek için ihtiyacınız olan verileri toplayabilirsiniz.
Bu makalede toplanan OSINT verilerini nasıl analiz edip yorumlayacağımızı keşfedeceğimiz, tehdit avı için OSINT serimizdeki bir sonraki makale için bizi izlemeye devam edin.
Mutlu OSINTing!