干货来了|OSINT框架在网络溯源中的使用
2023-12-9 23:35:40 Author: WIN哥学安全(查看原文) 阅读量:21 收藏

1

背景

OSINT是“开源情报”的缩写,指的是通过公开、开放的信息源来搜集、分析和利用情报的过程。这些信息源可以包括互联网上的公开网站、社交媒体、新闻、博客、论坛、政府公告和其他公开可访问的信息资源。OSINT的主要特点是信息是公开可用的。而不需要非法或者未经授权的渗透或者数据获取方法。OSINT是一种信息收集的方法,可以作为网络溯源工作的重要环节来帮助确定攻击者的身份和来源,今天的分享会深入分析框架中的具体细节,并且介绍如何使用其功能来加强网络溯源的能力。

2

网络溯源

1.网络溯源是一种基于特定事件、威胁或者网络攻击来确定攻击源头的过程。即我需要定位出实施某次网络攻击的个人或者团体。旨在识别攻击者或者破坏者

2.网络溯源涉及到网络日志分析、电子取证、攻击特征提取等技术。

3.网络溯源是一个动态的调查过程,例如攻击者实施攻击时的IP地址、手机号、姓名、身份证号、毕业院校以及工作单位。

网络溯源的起点——从某次具体的攻击事件中,提取出关键的、可用于后续分析的线索
从哪里能够获取到攻击源?

攻击源可能是攻击者发起攻击的IP地址,或者是木马的回连C2地址,攻击payload中的dnslog域名信息,甚至可能是攻击者携带的自己常用的社交id或个人信息

3

OSINT框架的使用人群

4

OSINT信息源的获取渠道

OSINT框架是由各个情报源汇聚的结果,本文尽量将工具集罗列全面,后期还会持续的扩大OSINT框架的能力。

在现实的网络攻防对抗中,搜索引擎是我们最先考虑要使用的工具,不同的搜索引擎返回的结果不尽相同,需要我们在实战中选择合适的搜索引擎。

4.1 通用的搜索引擎

主选Google搜索引擎

Google
https://www.google.com

Baidu
百度一下,你就知道

SearXNG
https://searx.be/search

Yandex
Yandex

You
https://you.com/

Bing
https://www.bing.com/

在使用搜索引擎时,还需要一些技巧
Google Hacking的技巧

1

site:bugbounty.huawei.com "漏洞" -Android

site用来限定网站的范围,""代表检索时不要拆开词汇, - 代表不要出现的字符,简单来说,我想在 bugbounty.huawei.com网站中检索 “漏洞”相关且不要出现带Android字符的网页。
我们在攻防对抗过程中,可能会找到很多关键字,比如攻击者在攻击报文中携带了自己的id: Hobby0y 、evil0day
参考 https://www.exploit-db.com/google-hacking-database

4.2 特殊的搜索引擎****

除了普通的搜索引擎外,这里再介绍三种特殊的搜索引擎

1.微信内容搜索引擎

2.知乎内容搜索引擎

3.网盘内网搜索引擎

以微信内容来说,我们在google搜索中,搜到的内容极少,我们查看了微信公众平台官网设置的robots协议,确实有如下设置:


4.3 网络威胁情报平台

目前市面上有很多很不错的威胁情报平台

其中微步在线威胁情报社区的数据是交全的,就以微步在线威胁情报平台为例

微步在线威胁情报平台,能够通过输入的IP或者域名信息,能够查询出此IP或者此域名相关的所有的威胁情报信息。

4.4 空间测绘引擎

空间测绘引擎是一种用于搜索和分析互联网上公开访问的设备,服务器和资源的工具。可以帮助用户发现和了解接入到互联网的设备信息。如开放端口、服务等信息。
使用空间测绘引擎的人员通常有以下几类

1.hacker

2.安全研究员

3.安全团队和科研人员

4.网络管理员

常见的空间测绘引擎有以下几种

Shodan
Censys
Zoomeye
Fofa
Onyphe

4.5 IP类

IP类的公开网站,我们只需要关心ip归属和地理位置的网站

住宅IP和云IP的区别
https://ipinfo.io/
输入IP地址后,查看asn type信息,如果是isp的代表住宅IP,hosting代表机房IP
本地使用nslookup来查询,如果是云托管厂商分配的IP地址,是可以反查到他的内部域名的。

domaintools
https://whois.domaintools.com/
站长之家whois查询
中国互联网信息中心whois查询
埃文科技 https://www.ipuu.net/ 这个站点的IP查地理位置非常准
比如我查了我所在的IP地址 183.209.***.***

同IP网站查询https://stool.chinaz.com/same

4.6 域名类

攻击者在实施网络入侵时,会带上自己的C2域名,用来木马回连,达到远程控制的目的。在java反序列化漏洞盛行以后,dnslog域名大量的出现在实现的攻防对抗中。
我们通过waf或者hips终端日志中,会捕获到很多攻击者携带的恶意域名,对这些域名深入的进行挖掘,可能会捕获到攻击者的真实身份。

WHOIS查询
通过已经获取到的域名,查看域名的注册人信息:姓名、手机号、邮箱。

https://whois.chinaz.com/站长之家提供了whois查询
现在的域名注册商提供了隐藏信息的服务,用户在注册域名的时候,选择了该项服务后,当使用whois来查询注册者信息时,个人信息都已经被隐藏起来了。
下图所示,域名在注册的时候,就选择了 隐藏个人信息的选项。

子域名查询
目前我已经搜集了部分子域名查询API接口。绝大多数是可以正常使用的,有些网站可能回随着时间的推移,慢慢下线了,同时也会有新的,更好用的API接口出世。需要持续的更新维护这些接口。

除此之外,根据域名,还可以去查询备案信息,前提是国内的域名。工信部规定,所有在国内使用的域名都必须经过ICP备案,那么备案信息也是公开查询的。
站长之家查备案 https://icp.chinaz.com/

ICP备案查询网:https://www.beianx.cn/

4.7 云服务提供商

国内有很多知名的云计算服务提供商,华为云、阿里云、腾讯云、百度云等等。
云服务商通常会在”密码找回“功能中提供了通过公网IP地址找回租户账号登录的途径。这对于我们防守队员来说,也提供了一定的线索。

4.8 漏洞库

在攻防对抗过程中,一旦服务器被攻击者入侵,我们需要能够快速的定位到服务器的漏洞,可以通过公开的漏洞库来查询是否存在NDAY漏洞的攻击,也可以订阅漏洞库网站,每天都可以关注最新的漏洞情况。

NIST NVD– 国家漏洞数据库
MITRE CVE – 识别、定义和分类公开披露的网络安全漏洞
GitHub Advisory Database – 安全漏洞数据库,包括 CVE 和 GitHub 起源的安全建议
cloudvulndb.org – 开放云漏洞和安全问题数据库
osv.dev – 开源漏洞
Vulners.com – 您的安全情报搜索引擎
opencve.io – 跟踪 CVE 更新和收到新漏洞警报的最简单方法
security.snyk.io – 开源漏洞数据库
Mend Vulnerability Database – 最大的开源漏洞数据库
Rapid7 – DB – 漏洞和利用数据库
CVEDetails – 终极安全漏洞数据源
VulnIQ – 漏洞情报和管理解决方案
SynapsInt – 统一的 OSINT 研究工具
Aqua Vulnerability Database – 开源应用程序和云原生基础架构中的漏洞和弱点
Vulmon – 漏洞利用搜索引擎
VulDB – 排名第一的漏洞数据库
ScanFactory – 实时安全监控
Trend Micro Zero Day Initiative – 零日计划研究人员发现的公开披露的漏洞
谷歌零项目– 包括零日在内的漏洞

4.9 地图类

google地图 https://www.google.com/maps?q=32.06167,118.77799
战争地图 https://liveuamap.com/

4.10 交通运输类

flightradar24航班实时追踪:https://www.flightradar24.com/

小号的radarbox24:https://www.radarbox24.com/

全球船舶航线图:https://www.marinetraffic.com/en/ais/home/shipid:465419/zoom:4
全球船舶监控:https://www.vesselfinder.com/

4.11 代码搜索引擎

主要关注的代码托管平台有四个:github.comgitlab.com/ gitee.com/ bitbucket

github

github全面上线了自研得搜索引擎来代替ES,新版的代码搜索于2023.04.10起不再支持按时间排序,意味着现有的扫描工具已经无法扫描到最新提交的代码。
https://github.blog/changelog/2023-03-10-changes-to-the-code-search-api/
https://docs.github.com/en/rest/search?apiVersion=2022-11-28#search-code

1.代码搜索速率限制将与其他搜索类型的速率限制分开。单独的代码搜索类别的速率限制为每分钟 10 个请求

2.我们将不再支持对代码搜索结果进行排序。一旦这些更改生效,所有代码搜索结果将按最佳匹配排序

3.所有代码搜索 API 端点都需要身份验证。此更改仅影响存储库范围的查询,因为所有其他查询类型已经需要身份验证

gitlab
https://gitee.com/koode/kooder
Kooder 是 Gitee 团队开发的一个代码搜索系统,为 Gitee/GitLab/Gitea 提供代码搜索服务

grep.app
reposearch
https://sourcegraph.com/search
https://searchcode.com/?lan=23&q=%22huawei.com%22支持从多个代码平台中搜索代码
https://gist.github.com/search?q=&ref=searchresults

4.12 个人身份挖掘类
个人身份挖掘,是整个OSINT框架中最关键的一环。我们通过在网络攻防
中收集到攻击者携带的信息:某个IP,某个用户名,某个域名,或者某个手机号,或者某个邮箱等信息,最终溯源到具体的人或者组织。

搜索引擎检索关键字

最直接,最有效的方法,就是关键字搜索,想要达到预期的效果,有一些前置条件:

1.关键字越有个性,越小众,越有特点,越容易精准搜索到相关信息,大众化的关键字不容易找到想要的结果。

2.目标必须在互联网上有一定的活跃度

3.使用AIO,多个搜索引擎一起搜。

已注册过的网站查询

通过一个手机号,或者邮箱,或者用户名,可以查询其注册过的网站,目的是对目标用户进行用户画像,大致能够判断出这个手机号在互联网上的活跃程度。如果这个手机号没有在任何主流网站中注册过,说明这个手机号价值不大,没有深入调查的必要,可能是新注册的手机号,也有可能不是攻击者私人使用的手机号,或者使用的是其家属的手机号。

社交网络信息收集

收集常用的社交软件APP/软件,可以将手机号存入到通讯录,然后再以下社交账号内开启通讯录同步。可以获取对方社交账号。

5

个人角度谈如何保护信息不被泄露

1.   关闭所有社交号的手机号搜索功能,不能随意在论坛、贴吧上公开自己的手机号

2.   将所有的社交软件的资料全部设置为私有,作品不对陌生人公开
3.   有条件的情况下,办理新的手机号,用于处理工作或者对外公开交流。减少暴露自己的生活手机号。
4.   快递外卖收货信息,不要使用真实的名字。
5.   注册互联网社交帐号时,用户名可以带上网站的特征。比如 hobbyboy_jd 代表在京东注册的用户名,一旦在社工库中发现了自己的用户名,就立马知道是哪个网站的数据被泄露了。
6.   社交帐号中设置的昵称要和自己的姓名不要有任何交集。
7.   在社交软件中分享图片或者状态时,尽量不要加地址,可以考虑为联系人设置分组,对于不熟悉的人群,发布状态时,尽量不对其分组进行展示。
本公众号发布、转载的文章所涉及的技术、思路、工具仅供学习交流,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

文章来源: http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247495333&idx=1&sn=cc5a2dfa1108ba486871f436605d089e&chksm=c0c84f51f7bfc647e47ab66a1b45d79abea49fc699c60bc6b4c17cdfd32208c930293b6ce9c6&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh