[Информационная безопасность, Софт] Osint-San — инструмент, с которым можно стать кибердетективом
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Обложка программыПривет Хабр! С вами Горшков Максим, специалист по информационной безопасности Cloud4Y. Мне выпала честь первому протестировать новый инструмент киберразведки: OSINT SAN. Разрабатывал его мой коллега по ИБ Максим Пономарёв (Bafomet). Что это и зачемBafomet решил создать своими руками доступный и быстрый инструмент для Osint по принципу «все в одном», аккумулировав разработки и технологии сторонних служб. Зачем нужен OSINT-SAN, если все включённые в него сервисы можно найти в интернете? Ответ прост: time is money. В эпоху больших данных экономия времени является одним из решающих аргументов. Вместо кучи открытых вкладок и создания платных аккаунтов можно получить всё на одном экране. Информация поступает в один клик моментально, и, что важно для пентестеров, в рамках пассивной разведки.Это особенно актуально, если пентест проходит в режиме Black Box с активным противодействием Blue Team (специалистов информационной безопасности). Хочу напомнить, что любые действия с чужой инфраструктурой, в особенности критической (КИИ) наказуемы, вплоть до уголовной ответственности. Уже сейчас сервисы КИИ обязаны репортить инциденты даже о сканере Nmap в НКЦКИ, а это, на минутку, детище ФСБ РФ. Так что, тишина и пассивная разведка — залог успеха ;)Что умеет OSINT-SAN Что предлагает новая версия OSINT-SAN Pro 3.0?Инструмент работает на Unix системах. Я установил на Parrot OS. Установка несложная, требуется python3. Скачиваем каталог, устанавливаем зависимости. Подробная инструкция есть в телеграм-группе проекта.Запускаем с помощью командной строки: python3 osintsan.py.Видим меню с большим количеством разделов. Разберу их детально, выбрав объектом исследований Cloud4Y:
1) Сканирование IP через известным в ИБ кругах сервисе SHodan.
2) Комбайн пассивной разведки веб-инфраструктуры, позволяющий получить всеобъемлющую информацию о веб-инфраструктуре компании.
Проверим, как работают некоторые функции. Например, сервис обнаружил установленный CMS меньше чем за секунду.
Краулер высасывает данные сайта и сохраняет в нашем каталоге для исследования.
3) Карта DNS. Удобно, красиво. Очень информативное оформление. Не готов демонстрировать ресурсы компании, а чужие уже противозаконно. 4) Проверяем, насколько глубока кроличья нора. Инструмент понадобится для работы с развитыми SOC или просто хитровымудренными ИБ.
5) Заводим IP и получаем несколько источников геолокации. Получается пробив IP на максималках. 6) Анализ скачиваемых торрентов. Вы помните, что торренты живут за счёт точек раздач и работают по UDP? Эта информация очень помогала мне в следственной работе. Таким образом ловили в своё время распространителей детского порно через торренты. Сильный инструмент.
7) Позволяет проверить IP адрес на прокси . Я проверил IP, за которым скрывался некий хакер в одном из расследуемых мною инцидентов.
8) История доменного имени. Хороший вариант разведки в некоторых случаях.10) Парсит все упоминания email на сайте на лету. Социальным инженерам, фишерам — раздолье.11) Поиск информации о мобильных устройствах. Модуль ищет по БД. Слабоват, но думаю будет совершенствоваться12) БД утечек email-паролей. Ввёл один знакомый email и получил информацию по утечкам в 10 сервисах. Модуль будет полезен при разборе инцидентов.
13) Анализирует по БД репутацию, выставленную почтовыми сервисами email’у. Хороший сервис проверки мнимых контрагентов или других любителей социальной инженерии по email.14) Android Debug Bridge. Так называется модуль, который 100% образует уголовную ответственность по ряду статей УК РФ (например, 137 УК РФ, 272 УК РФ). С этой функцией будьте крайне аккуратны. Прошу использовать только для ознакомления. Позволяет получить управление устройством через включенный режим отладки. Инструкций предоставлять не буду. Работает с помощью модулей классического Metasploit Framework
15) Про Bigbro я уже рассказывал. В этот раз добавлены более совершенно написанные фишинговые страницы для деанона по JS.16) Удобный отчет с shodan.io – известного сервиса поиска уязвимостей на веб-ресурсах со встроенным api.17 и 18) Поиск Метаданных, данных о данных. Если вы юный кулхацкер, можете попросить девушку прислать фотографию с её телефона. А затем удивить её тем, что будете знать всё о ее телефоне и месте съемки. 18 Пункт на основе ИИ распарсит сеть на похожих людей. Работает через онлайн-сервисы.19) Сбор данных по одноименной сети zoomEye20) Ещё один способ «найти по IP»21) Деанон по Telegram. На скриншоте ниже — деанон «хакера» из группы «анонимус» (судя по его аватарке «Гая Фокса»). Куча данных, телефоны, смены ников, устройства… Вот вам еще один звонок, что невинно оставленное согласие на обработку «куков, данных, других согласий» может привести к полному деанону.
24, 25) Поисковики с разумными алгоритмами. Ищут без рекламы и всякого лишнего мусора, что удобнее обычного поисковика.
26) Вы ведь помните, что все транзакции в цепочках биткойн сохраняются навсегда? Если установить ваш биткойн-кошелек, то можно видеть все ваши доходы и расходы. Вот вам пример:
27) Розыск по авто, открывается сторонний веб-сервис. Другие модули соответствуют названию и не требуют расшифровки.
Что по итогу? Получился готовый продукт, который рекомендую взять на вооружение всем пентестерам, специалистам по Osint или детективам. Однако хочу напомнить, что информация находится под защитой у государства (рекомендую ознакомиться с 152, 149 ФЗ РФ), любые неявные действия с данными другого лица могут привести к санкциям (административным, уголовным). Пользуйтесь подобными инструментами только в рамках закона. Спасибо за внимание. Что ещё интересного есть в блоге Cloud4Y→ Частые ошибки в настройках Nginx, из-за которых веб-сервер становится уязвимым→ Фишинг с поддельным приглашением на встречу→ Облачная кухня: готовим данные для мониторинга с помощью vCloud API и скороварки→ Подготовка шаблона vApp тестовой среды VMware vCenter + ESXi→ VMware предупредила о критических уязвимостях в удаленном исполнении кода в vCenterПодписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем не чаще двух раз в неделю и только по делу.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [Информационная безопасность, Браузеры, Софт] Опасности пользования онлайн-менеджерами паролей (перевод)
- [Информационная безопасность, Социальные сети и сообщества, IT-компании] Голландская группа подала иск на полтора миллиарда евро против TikTok за сбор информации
- [Информационная безопасность, Хранилища данных, Облачные сервисы, Компьютерное железо] Неизвестные взламывают и сбрасывают WD My Book Live с полной потерей данных
- [Информационная безопасность] Как государство пыталось в HTTPS, но не осилило
- [Информационная безопасность, Управление разработкой, Конференции] Соблюдай технику безопасности
- [Информационная безопасность, Платежные системы, Финансы в IT] EMV 3-D Secure, или кто украл SMS с одноразовым паролем. Часть 2
- [Информационная безопасность, Исследования и прогнозы в IT] Nefilim: как работает топовый вымогатель
- [Информационная безопасность, Системное администрирование, Облачные сервисы, IT-компании] Из-за изменения безопасности Google Drive многие из расшаренных ссылок сломаются
- [Информационная безопасность, Open source, Разработка под Android, Управление сообществом, Смартфоны] Android окукливается и сообщество потворствует этому
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_soft (Софт), #_osint, #_parsing (парсинг), #_bezopasnost (безопасность), #_sobljudajte_zakon (соблюдайте закон), #_blog_kompanii_cloud4y (
Блог компании Cloud4Y
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_soft (
Софт
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:57
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Обложка программыПривет Хабр! С вами Горшков Максим, специалист по информационной безопасности Cloud4Y. Мне выпала честь первому протестировать новый инструмент киберразведки: OSINT SAN. Разрабатывал его мой коллега по ИБ Максим Пономарёв (Bafomet). Что это и зачемBafomet решил создать своими руками доступный и быстрый инструмент для Osint по принципу «все в одном», аккумулировав разработки и технологии сторонних служб. Зачем нужен OSINT-SAN, если все включённые в него сервисы можно найти в интернете? Ответ прост: time is money. В эпоху больших данных экономия времени является одним из решающих аргументов. Вместо кучи открытых вкладок и создания платных аккаунтов можно получить всё на одном экране. Информация поступает в один клик моментально, и, что важно для пентестеров, в рамках пассивной разведки.Это особенно актуально, если пентест проходит в режиме Black Box с активным противодействием Blue Team (специалистов информационной безопасности). Хочу напомнить, что любые действия с чужой инфраструктурой, в особенности критической (КИИ) наказуемы, вплоть до уголовной ответственности. Уже сейчас сервисы КИИ обязаны репортить инциденты даже о сканере Nmap в НКЦКИ, а это, на минутку, детище ФСБ РФ. Так что, тишина и пассивная разведка — залог успеха ;)Что умеет OSINT-SAN Что предлагает новая версия OSINT-SAN Pro 3.0?Инструмент работает на Unix системах. Я установил на Parrot OS. Установка несложная, требуется python3. Скачиваем каталог, устанавливаем зависимости. Подробная инструкция есть в телеграм-группе проекта.Запускаем с помощью командной строки: python3 osintsan.py.Видим меню с большим количеством разделов. Разберу их детально, выбрав объектом исследований Cloud4Y: 1) Сканирование IP через известным в ИБ кругах сервисе SHodan. 2) Комбайн пассивной разведки веб-инфраструктуры, позволяющий получить всеобъемлющую информацию о веб-инфраструктуре компании. Проверим, как работают некоторые функции. Например, сервис обнаружил установленный CMS меньше чем за секунду. Краулер высасывает данные сайта и сохраняет в нашем каталоге для исследования. 3) Карта DNS. Удобно, красиво. Очень информативное оформление. Не готов демонстрировать ресурсы компании, а чужие уже противозаконно. 4) Проверяем, насколько глубока кроличья нора. Инструмент понадобится для работы с развитыми SOC или просто хитровымудренными ИБ. 5) Заводим IP и получаем несколько источников геолокации. Получается пробив IP на максималках. 6) Анализ скачиваемых торрентов. Вы помните, что торренты живут за счёт точек раздач и работают по UDP? Эта информация очень помогала мне в следственной работе. Таким образом ловили в своё время распространителей детского порно через торренты. Сильный инструмент. 7) Позволяет проверить IP адрес на прокси . Я проверил IP, за которым скрывался некий хакер в одном из расследуемых мною инцидентов. 8) История доменного имени. Хороший вариант разведки в некоторых случаях.10) Парсит все упоминания email на сайте на лету. Социальным инженерам, фишерам — раздолье.11) Поиск информации о мобильных устройствах. Модуль ищет по БД. Слабоват, но думаю будет совершенствоваться12) БД утечек email-паролей. Ввёл один знакомый email и получил информацию по утечкам в 10 сервисах. Модуль будет полезен при разборе инцидентов. 13) Анализирует по БД репутацию, выставленную почтовыми сервисами email’у. Хороший сервис проверки мнимых контрагентов или других любителей социальной инженерии по email.14) Android Debug Bridge. Так называется модуль, который 100% образует уголовную ответственность по ряду статей УК РФ (например, 137 УК РФ, 272 УК РФ). С этой функцией будьте крайне аккуратны. Прошу использовать только для ознакомления. Позволяет получить управление устройством через включенный режим отладки. Инструкций предоставлять не буду. Работает с помощью модулей классического Metasploit Framework 15) Про Bigbro я уже рассказывал. В этот раз добавлены более совершенно написанные фишинговые страницы для деанона по JS.16) Удобный отчет с shodan.io – известного сервиса поиска уязвимостей на веб-ресурсах со встроенным api.17 и 18) Поиск Метаданных, данных о данных. Если вы юный кулхацкер, можете попросить девушку прислать фотографию с её телефона. А затем удивить её тем, что будете знать всё о ее телефоне и месте съемки. 18 Пункт на основе ИИ распарсит сеть на похожих людей. Работает через онлайн-сервисы.19) Сбор данных по одноименной сети zoomEye20) Ещё один способ «найти по IP»21) Деанон по Telegram. На скриншоте ниже — деанон «хакера» из группы «анонимус» (судя по его аватарке «Гая Фокса»). Куча данных, телефоны, смены ников, устройства… Вот вам еще один звонок, что невинно оставленное согласие на обработку «куков, данных, других согласий» может привести к полному деанону. 24, 25) Поисковики с разумными алгоритмами. Ищут без рекламы и всякого лишнего мусора, что удобнее обычного поисковика. 26) Вы ведь помните, что все транзакции в цепочках биткойн сохраняются навсегда? Если установить ваш биткойн-кошелек, то можно видеть все ваши доходы и расходы. Вот вам пример: 27) Розыск по авто, открывается сторонний веб-сервис. Другие модули соответствуют названию и не требуют расшифровки. Что по итогу? Получился готовый продукт, который рекомендую взять на вооружение всем пентестерам, специалистам по Osint или детективам. Однако хочу напомнить, что информация находится под защитой у государства (рекомендую ознакомиться с 152, 149 ФЗ РФ), любые неявные действия с данными другого лица могут привести к санкциям (административным, уголовным). Пользуйтесь подобными инструментами только в рамках закона. Спасибо за внимание. Что ещё интересного есть в блоге Cloud4Y→ Частые ошибки в настройках Nginx, из-за которых веб-сервер становится уязвимым→ Фишинг с поддельным приглашением на встречу→ Облачная кухня: готовим данные для мониторинга с помощью vCloud API и скороварки→ Подготовка шаблона vApp тестовой среды VMware vCenter + ESXi→ VMware предупредила о критических уязвимостях в удаленном исполнении кода в vCenterПодписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем не чаще двух раз в неделю и только по делу. =========== Источник: habr.com =========== Похожие новости:
Блог компании Cloud4Y ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_soft ( Софт ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:57
Часовой пояс: UTC + 5