№4. Хакінг у практичному застосуванні та соціальна інженерія (Бізнес-розвідка з відкритих джерел)

27 червня 2023 7 хвилин Автор: Cyber Witcher

Використання відкритих джерел для успішної бізнес-розвідки

Бізнес-розвідка з відкритих джерел (OSINT) є невід’ємною частиною сучасної стратегії інформаційного збору для бізнесу. Використання відкритих джерел даних, таких як інтернет, соціальні мережі, публічні бази даних і новинні портали, дозволяє компаніям отримувати цінну інформацію про своїх конкурентів, ринки, потенційних клієнтів та інші аспекти бізнесу. Метою бізнес-розвідки з відкритих джерел є збір, аналіз і інтерпретація різноманітних даних, що дозволяє підприємствам здійснювати обґрунтовані рішення, виявляти нові можливості та знижувати ризики. Це допомагає підприємствам отримати конкурентну перевагу, покращити стратегію маркетингу та збуту, виявити тенденції ринку та прогнозувати зміни в сфері бізнесу. Використання бізнес-розвідки з відкритих джерел вимагає високого рівня експертизи та спеціалізованих інструментів для збору та аналізу даних.

Важливо дотримуватись етичних норм і забезпечувати конфіденційність та захист особистої інформації. Завдяки бізнес-розвідці з відкритих джерел підприємства можуть ефективно аналізувати інформацію з публічних джерел та використовувати її для прийняття обґрунтованих рішень, що сприяє їхньому успіху та стійкому розвитку Використання бізнес-розвідки з відкритих джерел (OSINT) відкриває безліч можливостей для компаній будь-якого розміру. Завдяки доступності великого обсягу відкритої інформації, підприємства можуть отримувати цінні висновки та інсайти про своїх клієнтів, конкурентів та ситуацію на ринку. Метою бізнес-розвідки з відкритих джерел є збір інформації, яка допомагає уникнути непередбачених ризиків, виявити нові ринкові можливості, зрозуміти потреби та побажання споживачів, а також здійснювати ефективні маркетингові стратегії. Це дозволяє компаніям бути на крок попереду конкурентів і підтримувати свою конкурентоспроможність. Основними елементами бізнес-розвідки з відкритих джерел є пошук та збір інформації з веб-сайтів, соціальних мереж, форумів, блогів та інших джерел, аналіз та інтерпретація отриманих даних. Використання спеціалізованих інструментів та технологій дозволяє автоматизувати процес збору та аналізу даних, що робить його більш ефективним та швидким. У цьому розділі представлені три категорії OSINT: бізнес, люди та інформація про кіберзагрози. Потім я розповім про деякі бізнес-інструменти OSINT для таких корисних завдань, як пошук імен керівників компаній, виявлення загальнодоступних файлів, збирання адрес електронної пошти та читання метаданих документів.

Case Study: Чому OSINT має значення

У 2017 році я виграв конкурс соціальної інженерії DerbyCon Capture the Flag (SECTF). У цій вправі я та п’ятеро інших учасників зіткнулися з нічого не підозрюючою компанією зі списку Fortune 500 у Луїсвіллі, штат Кентуккі. Ми витратили три тижні на збір OSINT, а потім провели 20 хвилин у звукоізоляційній кабіні, щоб поспілкуватися зі співробітниками цільової компанії. Досліджуючи свою цільову компанію, я перевірив записи одного з керівників у соціальних мережах і дізнався, що він запізнився на ділову зустріч в Амс-Тердамі, оскільки авіакомпанія затримала його рейс у Ньюарку. Ця, здавалося б, невинна інформація дала мені прекрасний привід зв’язатися з ним.

Знаючи це, я додав номер телефону цієї авіакомпанії до свого списку номерів. Потім він дізнався ім’я керівника підприємства та потерпілого, адресу електронної пошти та номер телефону і додав їх до свого списку цілей для атаки. Якби у мене був контракт з цією фірмою, який дозволяв фішинг, я б надіслав електронний лист із вибаченнями, який імітував шаблон авіакомпанії, а потім зателефонував, стверджуючи, що є співробітником авіакомпанії. Тоді я міг підтвердити інформацію, яку вже знав, і задати «питання безпеки», щоб переконати жертву, що я є надійним джерелом. Я навіть міг увімкнути кілька звуків операційної системи Windows, щоб підвищити свій авторитет. Нарешті, я б поставив йому потенційно небезпечні питання про операційне середовище компанії, такі як стан модернізації обладнання, графіки роботи або інші конфіденційні дані компанії.

Ця атака була б неможливою, якби я спочатку не знайшов повідомлення менеджера про затримку рейсу. Рідкісна ефективна атака соціальної інженерії відбувається без інформаційної розвідки об’єкта. Чим краще OSINT, тим краща соціальна інженерія.

Розберемося з OSINT-типами

OSINT може означати організацію, особу або фрагмент коду. Збираючи OSINT для бізнесу, ми шукаємо інформацію про компанію в цілому (використовувані технології, постачальників, клієнтів, операції та місцезнаходження).

Щоб зібрати OSINT-інформацію, пов’язану з людьми, ми можемо піти у двох напрямках. Можна орієнтуватися на саму людину, полюючи за такою інформацією, як її симпатії та антипатії, особисті зв’язки, питання щодо скидання пароля та контекст підбору пароля. Як варіант, ми можемо використовувати людину, щоб дізнатися про бізнес, в якому він працює. До цього типу OSINT відносяться фотографії людини на роботі, резюме, скарги або хвастощі роботою і поїздками, які люди зробили для роботи, і це лише мала частина потенційно корисної інформації.

 ПРИМІТКА Як правило, я не використовую безпосередньо особисті облікові записи людини як частину атаки на організацію. Я можу збирати інформацію для подальшого використання, але не буду намагатися зв’язатися з ним через особистий кабінет в соціальних мережах і месенджерах.

OSINT може використовуватися  для  цілей розвідки кіберзагроз (CTI), яка зазвичай включає фрагмент коду або конкретного супротивника. Ми використовуємо OSINT як засіб ідентифікації виконавця нападу та його мотивів. Наприклад, можна відстежувати елементи коду, щоб визначити його автора або країну. Або відстежуйте адресу електронної пошти або номер телефону, з якого зв’язалися з вашою організацією. Люди сперечаються про ефективність OSINT для аналіз загроз. Деякі організації роблять це дуже добре, а інші намагаються швидко заробляти за рахунок своїх клієнтів.

Збирання OSINT-даних про вашу організацію

Цей розділ допоможе розпочати збір OSINT-даних про організації. Який контекст ви можете використовувати для налагодження стосунків зі своїми співробітниками? Тут я розповім про деякі інструменти збору даних OSINT.

Отримання основної інформації про бізнес від Crunchbase

Різні сайти-агрегатори можуть надати вам вибір інформації про компанію. Хоча більшість з них беруть плату за детальну інформацію, деякі дозволяють отримати обмежену кількість інформації безкоштовно або без аутентифікації. Прикладом такого сайту в США є Crunchbase (https://www.crunchbase. com/). В інших країнах є подібні сервіси, всі вони влаштовані приблизно однаково і надають схожу інформацію. Знайти відповідні послуги можна за допомогою пошукової системи.

Crunchbase має безкоштовний рівень, який задовольняє більшість потреб випадкових ентузіастів OSINT. Якщо ви плануєте використовувати його активно або як професійний консультант, рекомендую заплатити за рівень Pro. Пошук у Crunchbase для Walmart відкриває профіль із кількома вкладками. 4.1 показана вкладка Summary  (Summary), який дозволяє отримати адресу штаб-квартири компанії. Перш ніж прокрутити вниз, можна дізнатися кількість злиттів, поглинань і виходів, в яких брала участь компанія. Ви можете побачити його біржовий тікер (якщо це публічна компанія), останні новини про компанію та основну історичну інформацію про неї. Crunchbase збирає цю інформацію з комбінації даних, отриманих від аналітиків, веб-сканування та корпоративних звітів, точність яких різниться.

Мал. 4.1. Сторінка сайту Crunchbase з профілем Walmart

Вкладка Financials  надає конкретну інформацію про інвестиції та залучення коштів (рисунок 4.2).

Мал. 4.2. Інформація про акції Walmart на вкладці «Фінанси» Crunchbase

Якщо акції компанії торгуються на фондовій біржі, ви знайдете інформацію про первинне публічне розміщення акцій (IPO) і ціну акцій. Якщо ви досліджуєте закриту приватну компанію, ви майже нічого не побачите в цьому розділі або, можливо, дізнаєтеся про зусилля зі збору коштів, включаючи зібрані суми, інвесторів та дати. Якщо компанія вклала гроші або зробила пожертвування, це буде зазначено нижче (рис. 4.3),  слідом за  виходами і завершеними придбаннями, рис. 4.4.

Мал. 4.3. Інформація про інвестиції Walmart на вкладці Crunchbase Financials
Мал. 4.4. Інформація про придбання Walmart на вкладці Crunchbase Financials

Далі  йде вкладка “Люди” ,  де перераховані важливі співробітники. Зазвичай це керівники, які курирують певні ключові сфери або люди, які вплинули на історію організації. Наприклад, на рис.4.5 Сем Уолтон, засновник Walmart, вказаний як «засновник і лідер» нинішньої команди і член ради директорів, незважаючи на те, що він пішов з життя в 1992 році.

Мал 4.5. Вкладка People профиля Walmart

Вміст вкладки  «Технологія»  здебільшого приховано, якщо у вас немає облікового запису Pro. Якщо він у вас є, на цій вкладці відображатиметься статистика веб-трафіку, показники мобільних додатків та обмежена інформація про патенти компанії та інші програми інтелектуальної власності. Цю інформацію можна знайти в інших місцях в Інтернеті, тому блокування не така вже й велика проблема. Спробуйте пошукати на BuiltWith (https://www.builtwith.com/), Wappalyzer (https://www.wappalyzer.com/) або Shodan (https://www.shodan.io/).

Остання вкладка, Signals &; News, містить останні новини та зміни в керівництві (рис. 4.6).

На цій вкладці також перераховані події, до яких організація має якесь відношення, або спонсоруючи їх, або виступаючи на них від імені своїх співробітників. Це гарна відправна точка, але не заміна інших джерел інформації, включаючи публічні документи, прес-релізи та повідомлення ЗМІ. (Ми обговоримо ці джерела в наступних кількох розділах.) Ця вкладка також може служити джерелом ідей для пошукових запитів, які ви можете ввести в пошукову систему за вашим вибором.

Мал4.6. Вкладка Signals &; News профиля Walmart

Ідентифікація власників веб-сайтів за допомогою бази даних WHOIS

Назва служби WHOIS походить від того, хто є – “хто є  хто” – і являє собою каталог веб-сайтів, їх мережеві адреси, власників та їх контактну інформацію. Його мета полягає в тому, щоб допомогти людям із законною бізнес-потребою зв’язатися з веб-командами компаній щодо їхньої присутності в Інтернеті.

Ви можете виконувати пошук WHOIS за допомогою DomainTools, як показано на рис. 4.7. Команда whois  вбудована як у версії Kali Offensive Security, так і в Trace Labs і може бути додана до будь-якої системи Linux за допомогою apt-get або подібних команд для інших дистрибутивів Linux.

У верхній частині сторінки ви можете побачити домени, схожі на домен жертви і продаються. Вони можуть стати в нагоді для викрадення домену та подальших спроб фішингу. Спуфінг легко виявити, і більшість поштових клієнтів мають захист від нього, що послаблює ваш потенціал як соціального інженера. Придбання законних доменів, подібних до домену жертви, з більшою ймовірністю призведе до того, що електронні листи пройдуть через фільтри та потраплять у папки “Вхідні”.

Зверніть увагу, що в цьому випадку трансфер домену заборонений, а значить, перенести цей домен іншому провайдеру ви, швидше за все, не зможете, що часто роблять червоні компанії. Також зверніть увагу на вік домену. Це допомагає переконатися в тому, що ви вибрали правильну мету. Крім того, та сама функція може виявити, що домени, які ви використовуєте, є підробленими. Ось чому рекомендується купувати домени та чекати від шести місяців до року, перш ніж використовувати їх.

Далі йдуть сервери доменних імен, які використовує сайт. Іноді вони можуть вказувати на програмне забезпечення та послуги, що використовуються компанією. Наприклад, Walmart використовує Akamai і UltraDNS. Akamai також надає  послуги мережі розповсюдження контенту (CDN) (для  забезпечення швидшого завантаження сторінок та пом’якшення атак DOS) та виконує веб-захист та балансування навантаження (подальше пом’якшення DOS). Це важливо знати, якщо ви готуєтеся до тесту на проникнення.

Майте на увазі, що з 25 травня 2018 року Загальний регламент захисту даних ЄС (GDPR) змінив спосіб обробки даних у базі даних у своїй юрисдикції. Це спонукало Internet Corporation for Assigned Names and Numbers (ICANN), керівний орган WHOIS, змінити склад наданої інформації про компанії та контактних осіб, розташованих в ЄС.

Мал 4.7. Запис Walmart WHOIS, отриманий через DomainTools

Збирайте OSINT з командного рядка за допомогою Recon-ng

Recon-ng – це інструмент командного рядка для Linux, спеціально написаний Тімом Томсом для збору OSINT-даних. Це дуже схоже на Metasploit: ви можете вводити інформацію, призначати цілі, а потім використовувати команду  run  для виконання пошуку.

Recon-ng має безліч вбудованих інструментів збору OSINT як для бізнесу, так і для людей, починаючи від хакерських електронних листів від Have I Been Pwned (обговорюється в главі 6) і записів DNS до хостів або портів від Shodan (обговорюється в главі 5). Ви можете знайти більшість речей, які ви хочете знати про компанію, використовуючи Recon-ng.

Встановлення Recon-ng

Recon-ng поставляється попередньо встановленим як у версіях Offensive Security, так і Trace Labs Kali. Щоб використовувати Recon-ng в іншій системі Linux, вам знадобиться Python 3, інструмент керування пакетами pip3 та Git. Потім ви можете встановити його в  каталозі /opt  за допомогою наступних команд:

root@se-book:/opt# git clone https://github.com/lanmaster53/recon-ng Cloning into 'recon-ng'...
---snip-Resolving deltas: 100% (4824/4824), done.
root@se-book:/opt# cd recon-ng/ root@se-book:/opt/recon-ng# ls -la --snip--
-rw-r--r-- 1 root root 97 Sep 25 18:37 REQUIREMENTS
--snip--
-rwxr-xr-x 1 root root 2498 Sep 25 18:37 recon-ng -rwxr-xr-x 1 root root 97 Sep 25 18:37 recon-web
root@se-book:/opt/recon-ng# python3 -m pip install -r REQUIREMENTS Requirement already satisfied: pyyaml in /usr/lib/python3/dist-packages (from -r 
REQUIREMENTS (line 2))
Collecting dnspython (from -r REQUIREMENTS (line 3))   Downloading https://files.pythonhosted.org/packages/ec/d3/3aa0e7213ef72b8585747 aa0e271a9523e713813b9a20177ebe1e939deb0/dnspython-1.16.0-py2.py3-none-any.whl (188kB)   100% |████████████████████████████████| 194kB 5.6MB/s

Настроювання робочого простору

Recon-ng дає можливість визначати окремі робочі області, які відмінно підходять для сегментації зібраної інформації. Ви можете визначити робоче середовище при відкритті Recon-ng і зберігати зібрані дані у власній унікальній базі даних SQLite. Якщо я шукаю різні організації або компанії за одним контрактом, я дам їм окремі робочі місця, щоб не плутатися, переглядаючи зібрану інформацію. Якщо ви не визначили робочу область, Recon-ng запише всі результати до робочої області за замовчуванням і пов’язаної з нею бази даних.

Щоб використовувати робочу область під час запуску Recon-ng, виконайте команду:

recon-ng -w ім’я_робочої_області

Наприклад, якби я досліджував Walmart, я міг би ввести команду:

recon-ng -w Walmart

В результаті робоча область буде виглядати наступним чином:

[recon-ng] [walmart]

Якщо ви вже використовуєте Recon-ng, ви можете переглянути доступні робочі області, ввівши команду список робочих областей.

 ПРИМІТКА Ви не можете зробити це, коли модуль завантажений, тому вам потрібно буде запустити команду назад у цій ситуації.

Якщо потрібно завантажити наявне робоче середовище, введіть таку команду:

workspace load ім’я_робочої_області

Створити робочу область можна також за допомогою команди:

workspace create ім’я_робочої_області

Коли відомості в робочій області більше не потрібні, її можна видалити, щоб відповідати вимогам щодо збереження інформації.

workspace remove ім’я_робочої_області

Встановлення модулів Recon-ng

Далі необхідно включити і встановити модулі. Давайте розглянемо, які модулі доступні за допомогою  команди пошуку в маркетплейсі:

[recon-ng][walmart] > marketplace search
+-----------------------------------------------------------------------------------   ------+
|.             Path                           | Version | Status        | Updated    | D | K |
+---------------------------------------------------------------------------------------   --+
| discovery/info_disclosure/cache_snoop       | 1.0     | not installed | 2019-06-24 |   |   |
| discovery/info_disclosure/interesting_files | 1.0     | not installed | 2019-06-24 |   |   |
| exploitation/injection/command_injector     | 1.0     | not installed | 2019-06-24 |   |   |
| exploitation/injection/xpath_bruter         | 1.1     | not installed | 2019-08-19 |   |   |
| import/csv_file                             | 1.1     | not installed | 2019-08-09 |   |   |
| import/list                                 | 1.0     | not installed | 2019-06-24 |   |   |

Існує два способи установки модулів: по одному або всі відразу. Щоб встановити один модуль, введіть наступну команду, замінивши імпорт/csv_file  повним шляхом до модуля: [recon-ng][walmart] > маркетплейс встановити імпорт/csv_file [*] Встановлений модуль: імпорт / csv_file [*] Перезавантаження модулів…

Щоб встановити всі доступні модулі, скористайтеся такою командою:

[recon-ng][walmart] > marketplace install all
[*] Module installed: discovery/info_disclosure/cache_snoop
[*] Module installed: discovery/info_disclosure/interesting_files
[*] Module installed: exploitation/injection/command_injector
--snip--
[*] Module installed: reporting/xml [*] Reloading modules...
[!] 'google_api' key not set. pushpin module will likely fail at runtime. See 'keys add'.
[!] 'bing_api' key not set. bing_linkedin_cache module will likely fail at runtime. 
See 'keys add'.
[!] 'censysio_id' key not set. censysio module will likely fail at runtime. See 'keys add'.

Отримання та додавання ключів API

Для того, щоб деякі інструменти мали доступ до зовнішніх ресурсів, потрібно додати ключі API з різних веб-сайтів. Кожен веб-сайт має свій власний процес отримання цих ключів, і ці процедури часто змінюються. Ви можете знайти мій актуальний посібник про те, як отримати ці ключі API на https://www. theosintion.com/practical-social-engineering/  або перевірте сторінки ключів API на веб-сайтах для кожного інструменту окремо.

Отримавши ключі, скористайтеся таким синтаксисом у Recon-ng, щоб додати їх:

keys add ім’я_модуля значення_ключа

Переконайтеся, що Recon-ng має ключ у базі даних за допомогою такої команди:

keys list

Пошук і запуск модулів Recon-ng

Існує п’ять типів модулів Recon-ng: виявлення, експлуатація, імпорт, розвідка та звітність. У цій книзі ми будемо використовувати модулі виявлення, розвідки та звітності.

Щоб побачити модулі, які належать до певного типу, скористайтеся командою пошуку, за якою слідує ім’я типу, наприклад:

modules search discovery

Якщо ви знаєте частину назви модуля, ви можете скористатися функцією пошуку для її пошуку, наприклад:

modules search hibp

Ви також можете викликати модуль безпосередньо за допомогою  команди modules load, якщо вам відома назва модуля або початок його імені:

modules load metacr

Ця команда завантажить  модуль метасканера. Тепер давайте розглянемо деякі з цих модулів більш детально.

Щоб встановити ціль для модуля, потрібно знати, які вхідні дані приймає модуль. Дізнайтеся, ввівши  команду info. Коли будете готові ввести ціль або значення в одне з допустимих полів, введіть команду optionsset   field_namefield_value.

Перерахування файлів за допомогою Metacrawler

Модуль метаобхідника  здійснює пошук на цільовому сайті або сайтах файлів Microsoft PowerPoint, Word, Excel і PDF. Це еквівалентно довгому пошуковому терміну Google Dork, наприклад, такому:

site:nostarch.com Filetype:XLS* OR Filetype:DOC* OR Filetype:PPT* or Filetype:PDF

Наприклад, щоб знайти всі типи файлів на nostarch.com сайті, скористайтеся такими командами:

[recon-ng][default][metacrawler] > options set SOURCE nostarch.com
SOURCE => nostarch.com
[recon-ng][default][metacrawler] > run
------------
NOSTARCH.COM
-----------[*] Searching Google for: site:nostarch.com filetype:pdf OR filetype:docx OR filetype:xlsx OR filetype:pptx OR filetype:doc OR filetype:xls OR filetype:ppt [*] https://www.nostarch.com/download/WGC_Chapter_3.pdf
[*] Producer: Acrobat Distiller 6.0 (Windows)
[*] Title: Write Great Code
[*] Author: (c) 2004 Randall Hyde
[*] Creator: PScript5.dll Version 5.2
[*] Moddate: D:20041006112107-07'00'
[*] Creationdate: D:20041006111512-07'00'
[*] https://www.nostarch.com/download/wcss_38.pdf
[*] Producer: Acrobat Distiller 5.0 (Windows)
[*] Title: wcss_book03.book
[*] Author: Riley
[*] Creator: PScript5.dll Version 5.2
[*] Moddate: D:20040206172946-08’00’
[*] Creationdate: D:20040116180100Z

Якщо для параметра Видобуток установлено  значення Істина,  ця команда відображає всі документи, доступні на загальнодоступному веб-сайті призначення, у форматах PDF або Microsoft Office (Excel, Word або PowerPoint) із посиланням на файл і його метадані, включаючи автора, дату модифікації, програмне забезпечення, яке створило документ, і дату створення. Якщо  для параметра Видобуток  встановлено  значення  Хибність, результат містить лише ім’я файлу та посилання.

За допомогою цієї інформації можна зробити багато речей: з метаданих – витягти імена користувачів, назви операційних систем і використовуване програмне забезпечення; З самих файлів знайти інформацію, яку цільовий об’єкт мав намір зберегти в таємниці, включаючи імена, адреси електронної пошти, номери телефонів і факсів, місцезнаходження та важливі ділові питання.

Пошук контактної інформації домену за допомогою whois_pocs

У  модулі whois_pocs  перераховані всі відомі контакти для вказаного домену. Він надійніший для цієї функції, ніж модуль майнера whois_, і працює навіть проти цілей із увімкненою конфіденційністю домену. Ось приклад запуску цього модуля проти Walmart:

[recon-ng][default][whois_pocs] > modules load whois_pocs
[recon-ng][default][whois_pocs] > options set SOURCE walmart.com
SOURCE => nostarch.com
[recon-ng][default][whois_pocs] > info
      Name: Whois POC Harvester
      Path: modules/recon/domains-contacts/whois_pocs.py
    Author: Tim Tomes (@LaNMaSteR53) Description:
  Uses the ARIN Whois RWS to harvest POC data from whois queries for the given domain. Updates the 'contacts' table with the results.
Options:
  Name   Current Value Required Description
  ------ ------------- -------- -----------
  SOURCE walmart.com yes source of input (see 'show info' for details) Source Options:
  default        SELECT DISTINCT domain FROM domains WHERE domain IS NOT NULL   <string>       string representing a single input   <path>         path to a file containing a list of inputs   query <sql>    database query returning one column of inputs [recon-ng][default][whois_pocs] > run
-----------
WALMART.COM
-----------
[*] URL: http://whois.arin.net/rest/pocs;domain=walmart.com
[*] URL: http://whois.arin.net/rest/poc/ABUSE327-ARIN
[*] Country: United States
[*] Email: [email protected]
[*] First_Name: None
[*] Last_Name: Abuse
[*] Middle_Name: None
[*] Notes: None
[*] Phone: None
[*] Region: Brisbane, CA
[*] Title: Whois contact
[*] --------------------------------------------------

Майте на увазі, що деякі організації не розголошують інформацію WHOIS.

Використання mx_spf_ip для ознайомлення з політиками електронної пошти домену

Модуль mx_sfp_ip  отримує запис DNS поштового обмінника (MX) для домену. Запис MX визначає, як домен обробляє електронну пошту. Тут відображаються використовувані поштові сервери та будь-які записи структури політики відправників (SPF), які обмежують діапазони IP-адрес, з яких домен може отримувати пошту, а також домени, які можуть надсилати електронні листи до організації без перевірки.

Використовуючи запис MX, зловмисник може отримати інформацію, яку він містить, щоб створити успішну атаку підміни електронної пошти. Наприклад, зловмисник може встановити діапазони IP-адрес, указані в записі, і пов’язані з ними домени. Це може дати підказки про ділові відносини, постачальників або використовувані технології.

Наведена нижче команда отримує запис MX для nostarch.com. Результат підтверджує, що сайт використовує поштові сервери Google, але відсутність запису SPF вказує на те, що No Starch не має реалізованого SPF:

[recon-ng][book][mx_spf_ip] > options set SOURCE nostarch.com
SOURCE => nostarch.com
[recon-ng][book][mx_spf_ip] > run [*] Retrieving MX records for nostarch.com.
[*] [host] alt1.aspmx.l.google.com (<blank>)
[*] [host] aspmx.l.google.com (<blank>)
[*] [host] alt3.aspmx.l.google.com (<blank>)
[*] [host] alt2.aspmx.l.google.com (<blank>)
[*] [host] alt4.aspmx.l.google.com (<blank>) [*] Retrieving SPF records for nostarch.com.
[*] nostarch.com => No record found.

З іншого боку, наступне відкриття показує нам, що Walmart використовує SPF:

[recon-ng][book][mx_spf_ip] > options set SOURCE walmart.com
SOURCE => walmart.com
[recon-ng][book][mx_spf_ip] > run
[*] Retrieving MX records for walmart.com.
[*] [host] mxb-000c7201.gslb.pphosted.com (<blank>) [*] [host] mxa-000c7201.gslb.pphosted.com (<blank>)
[*] Retrieving SPF records for walmart.com.
[*] TXT record: "dtOeNuIs42WbSVe3Zf2qizxLw9LSQpFd6bWqCr166oTRIuJ9yKS+etPsGGNOvaiasQk2C 6GV0/5PjT9CI2nNAg=="
[*] TXT record: "google-site-verification=ZZYRwyiI6QKg0jVwmdIha68vuiZlNtfAJ90msPo1i7E" [*] TXT record: "adobe-idp-site-verification=7f3fb527466337ac0ac0752c569ca2ac48926dc6c
6dad3636d581aa131a1cf3e"
[*] TXT record: "v=spf1 ip4:161.170.248.0/24 ip4:161.170.244.0/24 ip4:161.170.236.31 ip4:161.170.238.31 ip4:161.170.241.16/30 ip4:161.170.245.0/24 ip4:161.170.249.0/24 include:Walmart.com include:_netblocks.walmart.com include:_vspf1.walmart.com include:_vspf2.
walmart.co" "m include:_vspf3.walmart.com ~all"
[*] [netblock] 161.170.248.0/24 
[*] [netblock] 161.170.244.0/24
[*] [host] <blank> (161.170.236.31)
[*] [host] <blank> (161.170.238.31)
[*] [netblock] 161.170.241.16/30
[*] [netblock] 161.170.245.0/24
[*] [netblock] 161.170.249.0/24
[*] TXT record: "facebook-domain-verification=ximom3azpca8zph4n8lu200sos1nrk" 
[*] TXT record: "adobe-idp-site-verification=5800a1970527e7cc2f5394a2bfe99bcda4e5938e1
32c0a19139fda9bf6e30704"  
[*] TXT record: "docusign=5bdc0eb1-5fb2-471c-99a0-d0d9cc5fdac8"  
[*] TXT record: "MS=E4F53D5B1A485B7BA06E0D36A9D38654A16609F3" 

Запис SPF містить список перевірок доменів для Adobe, Facebook, DocuSign, Microsoft і Google. Текстовий запис (TXT), який починається з MS=, вказує на те, що Walmart використовує Microsoft Office 365. Він також використовує adobe-idp-site-verification для  перевірки доменів для продуктів Adobe Enterprise, таких як Creative Cloud x. Перевірка домену Facebook Запис TXT обмежує домени, які редагують офіційну сторінку Facebook для домену w. Запис TXT, який починається з docusign=, вказує на те, що сайт використовує DocuSign для підписання офіційних документів y.

Зверніть увагу, що адреса pphosted.comu  вказана як хост. Це передбачає використання Proof-point, технології захисту від спуфінгу, яка додає власне повідомлення, часто  рядок [ЗОВНІШНІЙ],  до теми отриманих електронних листів, полегшуючи виявлення фішингу або спроб компрометації корпоративної електронної пошти.

Деякі мережеві діапазони також перераховані.

Це загальнодоступні IP-адреси мети, а два перераховані хости є основними поштовими серверами. Ви можете перевірити це за допомогою інших інструментів.

Використання інших інструментів: theHarvester та OSINT Framework

Як і Recon-ng, theHarvester – це інструмент командного рядка OSINT на базі Linux, який доступний безкоштовно як частина Kali та Buscador. Ви також можете знайти його на GitHub. theHarvester, написаний Крістіаном Мартореллою, вимагає ключів API для Shodan та користувацької пошукової системи Google (CSE).

Ці ключі можна ввести в наступні файли:

шлях до_theHarvester discovery/googleCSE.py

а також:

шлях до__theHarvester /discovery/shodansearch.py

У комбайні можна використовувати перемикачі, щоб направити інструмент на виконання завдань. Рішення використовувати theHarvester замість Recon-ng є питанням особистих уподобань. Навіть якщо ви візьмете Recon-ng як основний інструмент, ви можете отримати другу думку за допомогою theHarvester, щоб побачити, чи не пропустив Recon-ng якусь додаткову інформацію.

OSINT Framework (https://osintframework.com/) являє собою набір інструментів графічного інтерфейсу. Розроблений під керівництвом Джастіна Нордіна, OSINT Framework групує ресурси на основі того, що ви шукаєте (Мал. 4.8).

Мал. 4.8. OSINT Framework

Пошук адрес електронної пошти за допомогою Hunter

Вам часто доведеться шукати адреси електронної пошти компанії та синтаксис цих адрес (формат, який компанія використовує для адрес електронної пошти своїх співробітників). Hunter – відмінний інструмент для складання списку. Не входячи в систему, ви можете отримати основний синтаксис адреси електронної пошти, який використовується компанією, а після створення облікового запису та входу в систему – найпоширеніший синтаксис адреси електронної пошти, повні адреси електронної пошти компанії, а іноді і посаду людини.

На Мал. 4.9 Відображаються неавтентифіковані результати пошуку.

Мал. 4.9. Результати пошуку мисливця за неавтентифікованим користувачем. (Примітка: Хантер цензурував ці результати)

На Мал. 4.10 показує результати автентифікованого пошуку, який повертає дійсні адреси електронної пошти для нашого цільового домену, а також місце, де вони були знайдені.

Мал. 4.10. Результати пошуку Hunter для автентифікованого користувача. (Примітка: автор приховав подробиці)

Дивлячись на ці результати, ви можете зробити висновок про синтаксис адрес електронної пошти компанії. Потім ви можете перейти до LinkedIn та корпоративного веб-сайту, щоб отримати більше імен, а потім самостійно зібрати більше адрес електронної пошти, якщо хочете надсилати фішингові електронні листи цим людям.

Hunter надає різні рівні обслуговування; На момент написання цієї статті вони варіюються від безкоштовних (100 запитів на місяць без експорту CSV) до 399 доларів. на місяць, що включає 50 000 запитів і дозволяє експортувати CSV.

Використання інструментів картографування та геолокації

Ви, ймовірно, використовували Карти Google або Карти Bing для навігації картами, супутниковими знімками та видами, зробленими на вулицях. Коли справа доходить до збору OSINT-даних, супутниковий режим і режим перегляду вулиць, як правило, є найціннішим.

Вид із супутника може показувати ворота, сміттєві баки, супутникові антени, входи та виходи, схеми паркування та прилеглі об’єкти. Ви можете збільшити деякі ділянки, досить великі, щоб визначити маркізи, входи та місця для куріння.

Вид з вулиці дозволяє бачити будівлю і предмети так, ніби ви проходите або проїжджаєте повз. З цієї точки зору можна визначити наступне:

  1. Назви компаній, які обслуговують шлагбауми та ворота або займаються вивозом сміттєвих баків (корисна інформація, здатна допомогти вам отримати доступ на територію будівлі або поритися у сміттєвому баку);

  2. Наявність і розташування воріт, дверей і огорож, а також чи залишаються вони зазвичай відкритими (а іноді і присутність охоронців);

  3. Компанії служб доставки, чиї вантажівки припарковані зовні; zzконкретні назви будівель, такі як Walmart Innovation Center, Walmart People Center або Walmart Home Office, які можуть допомогти вам краще вписатися в організацію; наявність інших орендарів у будівлі.

Під час конкурсу DerbyCon SECTF, про який згадувалося на початку цього розділу, я використовував Google Maps, щоб визначити служби доставки для моєї цільової компанії, перевіривши, чиї вантажівки знаходяться поблизу воріт. Я міг би використати цю інформацію, щоб отримати фізичний доступ до будівлі, можливо, знайшовши подібну форму в комісійному магазині, або як привід зателефонувати про доставку.

Використання як Карт Google, так і Карт Bing може надати точнішу інформацію, оскільки ці служби мають різні джерела даних. Крім того, зображення були отримані в різні дні, тому ви можете, наприклад, знайти вантажівку доставки в одному додатку, але не знайти її в іншому, побачити новий сміттєвий бак на пізнішій фотографії або побачити більш чіткий логотип сервісної компанії.

Ми використовували матеріали з книги “Соціальна інженерія та етичний хакінг на практиці”, які були написані Джо Греєм.

Інші статті по темі
КібервійнаСоціальна інженерія
Читати далі
№1. Хакінг у практичному застосуванні та соціальна інженерія (Що таке соціальна інженерія?)
Соціальна інженерія - це термін, який стає все більш актуальним у сучасному цифровому суспільстві. Цей СЕО-текст зосереджений на тому, що таке соціальна інженерія, які основні методи її використання, та як можна захиститися від цієї загрози.
1011
КібервійнаСоціальна інженерія
Читати далі
№2. Хакінг у практичному застосуванні та соціальна інженерія (Єтичні міркування у соціальній інженерії)
Етичні міркування у соціальній інженерії відіграють важливу роль у забезпеченні відповідального та ефективного використання методів маніпуляції. Дотримання моральних принципів, таких як заборона незаконного використання та відповідальне поводження з конфіденційною інформацією, є необхідним для захисту приватності, довіри та запобігання шкоді.
789
КібервійнаСоціальна інженерія
Читати далі
№6. Хакінг у практичному застосуванні та соціальна інженерія (Клонування цільової сторінки)
Клонування цільової сторінки є небезпечним і недозволеним діянням, яке використовується для шахрайства, фішингу та крадіжки конфіденційної інформації.
818
КібервійнаСоціальна інженерія
Читати далі
№7. Хакінг у практичному застосуванні та соціальна інженерія (Виявлення, вимірювання та звітність)
Ми обговоримо різні способи виміру результатів атаки. Вони включають розгляд різних показників, здатних зробити ваші дані зрозумілими для ваших клієнтів.
775
КібервійнаСоціальна інженерія
Читати далі
№10. Хакінг у практичному застосуванні та соціальна інженерія (Методи виявлення загроз)
У цьому розділі ми розглянемо процес збору відомостей про загрози, пов'язані з фішинговими електронними листами, за допомогою безкоштовної платформи для обміну даними.
828
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.