OSINT ou comment regarder votre réseau à travers les yeux d'un hacker





Bonne après-midi! Aujourd'hui, je vais vous dire quelles informations sur une organisation peuvent être trouvées dans des sources ouvertes et comment un attaquant potentiel peut les utiliser. Beaucoup d'entre vous ont probablement entendu parler d' OSINT (Open Source INTelligence, une liste d'activités visant à collecter des informations à partir de sources ouvertes), qui est le plus souvent utilisé pour collecter des informations sur une personne spécifique. Mais OSINT peut également être utilisé pour rechercher des informations sur des organisations spécifiques afin d'évaluer la sécurité. Vous devez admettre qu'il est utile de voir ce qui est publiquement disponible sur vous et comment vous regardez du côté d'un attaquant potentiel.



Ressources populaires où les informations sont collectées



Pour effectuer un scan actif, il est nécessaire de signer un NDA et de coordonner le travail, ce qui prend naturellement du temps. À cet égard, il est nécessaire de n'utiliser que des données qui se trouvent dans des sources ouvertes, de ne pas analyser l'infrastructure informatique et, par conséquent, de ne pas passer des heures de travail à la bureaucratie.





Alors, que peut-on trouver dans le domaine public?



La réponse la plus détaillée à cette question est osintframework.com , je vous recommande de vous familiariser avec la réponse générale à la question posée.







Je vais essayer de distinguer les informations les plus intéressantes pour les spécialistes de la sécurité de l'information parmi la grande quantité d'informations. Nous chercherons:



  • Adresses postales d'entreprise
  • Les faits liés aux adresses postales compromettantes
  • Sous-domaines enregistrés auprès de l'entreprise
  • Adresses IP de l'entreprise et systèmes autonomes
  • Ouvrir les ports et les services qui s'y trouvent, ainsi que la sélection des vulnérabilités et des exploits pour les services découverts
  • Répertoires de sites cachés
  • Documents confidentiels


Que pouvez-vous utiliser pour trouver ces informations?



Il existe un grand nombre d'outils sur Internet pour rechercher les adresses postales d'une entreprise par domaine, par exemple:





hunter.io - jusqu'à récemment, l'outil était totalement gratuit, mais malheureusement les temps changent. L'extension de







navigateur Email Finder de Snov.io - a actuellement d'énormes fonctionnalités dans la version gratuite et trouve un grand nombre de comptes de domaine, mais pour combien de temps? ..







theHarvester - recueille à la fois les adresses e-mail et les sous-domaines, les ports ouverts et les données sur le virtuel hôtes. Préinstallé sur Kali Linux.







Il existe à la fois des outils payants et gratuits, le choix de l'utilisation dépend de la volonté / capacité de payer pour la fonctionnalité améliorée. Il est logique d'utiliser plusieurs outils en même temps car ils produisent des résultats différents. En fin de compte, nous avons une longue liste d'adresses postales d'entreprise, qui doivent être vérifiées pour les comptes compromis.



Vous pouvez le vérifier sur de nombreux services bien connus haveibeenpwned.com.







En sortie, l'outil nous donne des informations dans lesquelles les bases de données contiennent des mentions de compte, si ces bases de données contiennent des données sur les mots de passe, les adresses physiques, les numéros de téléphone, etc.







Nous n'obtiendrons pas les mots de passe eux-mêmes ici, mais nous pourrons diviser les adresses e-mail en adresses «propres» et potentiellement compromises.



Il convient de noter ici que l'outil dispose d'une API payante. Sans cela, bien sûr, vous pouvez vérifier toutes les adresses postales, mais vous devrez les soumettre à l'entrée une par une, ce qui prendra beaucoup de temps. Lors de l'achat d'une API (3,5 $ par mois, frais purement symbolique), nous pourrons l'utiliser dans divers scripts et, par conséquent, accélérer et automatiser considérablement le processus d'analyse.



À l'avenir, vous pourrez utiliser le bot dans le télégramme @mailsearchbot .







A l'entrée, nous lui donnons des adresses postales potentiellement compromises, à la sortie nous obtenons les mots de passe utilisés en conjonction avec cette adresse postale. Il est à noter qu'il n'est pas possible de trouver des mots de passe pour tous les comptes, mais le taux de détection est élevé. Et encore une fois, s'il y a un désir / une opportunité de soutenir financièrement le développeur, vous pouvez recevoir des données complètes, sans symboles cachés par des astérisques, mais malheureusement ici le prix mord déjà.



L'étape suivante consiste à collecter des informations sur les sous-domaines . Il existe de nombreux outils pour ce faire, par exemple:





theHarvester







dnsdumpster.com - peut dessiner de beaux graphiques de relations et exporter les résultats vers Excel, mais a une limitation sur l'affichage de seulement 100 sous-domaines.







pentest-tools.com - Je vous conseille de vous familiariser avec le site plus en détail, car ici vous pouvez rechercher non seulement des sous-domaines. Dans la version lite, il a une limite de 2 scans par jour, mais il est facile de s'en sortir avec TOR)







Il est également logique de combiner des outils pour déterminer le plus grand nombre de sous-domaines. Souvent, une adresse IP est associée à un sous-domaine, qui peut ensuite être transmis à shodan ( shodan.io ) pour obtenir une liste des ports ouverts et des services qui sortent du lot sur Internet.







À l'avenir, vous pourrez sélectionner des vulnérabilités et des exploits pour des versions spécifiques de services à l'aide de ressources telles que:





cvedetails.com - une grande base de données CVE de services et de leurs versions. Il peut y avoir des difficultés à trouver les services nécessaires lors de leur répétition (par exemple, il existe deux pages différentes du service Microsoft IIS avec des vulnérabilités différentes).







exploit-db.com est une vaste base de données d'exploits en pleine croissance . Il est à noter ici qu'il existe des exploits confirmés par l'administration du site et non vérifiés.







Dans les données shodan, nous nous intéressons également à l'appartenance de l'adresse IP à un système autonome . Le contrôle est effectué dans différents services Whois, dont il existe également un grand nombre. Dans l'ensemble, il n'y a aucune différence avec quel outil travailler, donc je vais vous montrer ceux sur lesquels je me suis arrêté:





bgp.he.net - semble maladroit, mais affiche des données sur tous les systèmes autonomes.







ididb.ru se concentre principalement sur la collecte d'informations sur les systèmes autonomes du Runet.







Si un système autonome appartenant à une entreprise est trouvé, il est logique d'exécuter toutes les IP via shodan et de collecter le plus d'informations possible sur les versions de service.



Pour analyser les définitions sur lesquelles le site est construit, vous pouvez utiliser l' extension de navigateur Wappalyzer . Souvent, l'outil détecte les versions et, par conséquent, vous pouvez également sélectionner des vulnérabilités pour celles-ci.







Nous passons à la dernière étape - la recherche de répertoires cachés et de fichiers de site . C'est ici que:



  • Google dorks
  • DirBuster


Les requêtes Google Dork sont des requêtes délicates adressées aux moteurs de recherche qui aident à faire la lumière sur les données publiques, mais à l'abri des regards indiscrets. Dans l'immensité d'Internet, il existe suffisamment d'informations sur la manière de rédiger «correctement» des requêtes auprès d'un moteur de recherche pour obtenir les informations nécessaires. Andrey Masalovich a clairement montré comment cela se faisait.







À son tour, DirBuster est un outil pour trouver les répertoires cachés et les fichiers que vous avez oublié de supprimer de l'accès public ou ajoutés par erreur. Il a plusieurs dictionnaires intégrés pour la recherche. Il est recommandé d'utiliser le dictionnaire directory-list-2.3-medium pour optimiser le rapport entre le temps passé et l'épuisement.







Il y a beaucoup d'informations à analyser lors de l'utilisation de ces outils, mais souvent l'effort est récompensé.



Cours / livres populaires pour l'enseignement



  • Cours vidéo d'introduction OSINT
  • Cours certifié OSINT et intelligence concurrentielle
  • Je vous conseille de regarder sur YouTube les enregistrements des discours de Masalovich Andrey Igorevich, le professeur du cours précédent. C'est un vrai professionnel dans son domaine, il racontera plein de choses intéressantes. Je vous conseille également de vous familiariser avec son site internet , où vous pouvez trouver un grand nombre de vidéos et de livres sur ce sujet.


Top 5 des problèmes que nous rencontrons avec OSINT



Dans ma pratique, j'ai réussi:



  • , . , , ? .
  • , “”. — . .
  • RDP, FTP, SSH NTP , . , brute force . , ..
  • . , , — .
  • . , : , ? , , . .




Ainsi, nous voyons que les informations dans les sources ouvertes peuvent devenir un tremplin pour une attaque contre l'infrastructure d'entreprise. Il est nécessaire de vérifier périodiquement à quoi ressemble l'organisation du côté d'un attaquant potentiel et, si possible, de masquer ces informations.



Et si vous ne pouvez pas faire OSINT vous-même?



Nous pouvons réaliser OSINT pour votre organisation gratuitement, veuillez contacter.

Si ce sujet vous intéresse, restez à l'écoute de nos chaînes ( Telegram , Facebook , VK , TS Solution Blog )!



All Articles