九维团队-暗队（情报）| OSINT开源情报技术

OSINT 代表开源情报，它是 OSINT 的完整形式，是当今互联网的网络安全的关键方面之一。开源情报是指合法地从有关个人或组织的免费公共来源中收集的任何信息，可以是互联网的信息，也可以是公共图书馆中的书籍或报告，报纸上的文章和新闻稿中的声明。目前政府和军事机构也使用了许多 OSINT 技术，但它们也可以应用于公司来加强网络安全防御。

开源情报为网络安全团队提供便捷，让蓝队、紫队和红队能够访问广泛的信息，例如网络技术、网络托管服务器、DNS 记录、软件技术、云资产、物联网设备、应用程序、数据库、社交媒体帐户等等。

2.1 搜索引擎技术

由Johnny Long创建的Google Hacking数据库包含数百个随时可用的高级Google搜索术语，使用者通过关键词加术语可用于在线获取相关的情报。

除此之外还有网络空间搜索引擎的技术，例如ZoomEye、FOFA、Shadon 、Quake以及Hunter等。

2.2 社交媒体情报

社交媒体网站为情报调查提供了许多机会，因为在这些网站上，我们可以找到大量的有用信息。例如，只需要查看此人的社交媒体页面，我们就能获得大量个人信息，通常包括但不限于感兴趣的人、社交联系人、政治观点、宗教、族裔、原籍国、个人发布的图像和视频、配偶姓名(或婚姻状况)、家庭和工作地址、经常访问的地点、社会活动等信息。

2.3 公共数据情报

公共数据大部分是由政府实体制作的、意在非机密的信息，包括有出生和死亡记录、财产记录、犯罪记录、教育历史、工作历史、地点历史、社交媒体和约会简介、亲属姓名、家庭成员、联系信息等。不同国家对公共记录的处理方式不同，在美国可以使用TruthFinder搜索引擎搜索当国的个人详细公共数据信息，也可以用作暗网监控服务平台。

免费电子邮件搜索服务可以帮助OSINT情报者根据相关的电子邮件地址定位人员。电子邮件验证服务检查是否存在电子邮件地址，并提供关于该地址的其他详细技术信息。

免费电子邮件搜索服务网址举例：hunter: https://hunter.io/skymem:https://www.skymem.info/零零信安: https://0.zone/

2.4 检索 Web 数据

我们可以使用多种方法从互联网站点收集数据，会有相当一部分是图像和视频，但其余大部分是基于文本的。可以使用Wget以及Curl将数据进行下载，然后利用Grep 等检索命令对关键数据进行检索，也可以使用 Agent Ransack等检索工具进行快速检索关键内容。

在我们的日常工作中使用的许多文件都包含着额外的信息元数据，该内容通常存储在文件的属性中，但通常不显示在常规内容中。例如在 Microsoft Word 文档中的附加信息可能会存在作者或者公司名称等信息；图片或视频中的GPS等信息，如下图所示：

目前有超过 170 种类型的文件可能包含元数据。从常见的 "office" 文件（文档、电子表格和幻灯片）到图像、视频和音频文件，所有内容都可能包含某种类型的元数据，可能包含用户没有意识到正在泄露的敏感内容，它提供了线索，并可以给洞察 OSINT 目标显示给我们：

• 用户名

• 全球定位系统的位置

• 日期和时间

• 文件位置

• 时间戳（创建、访问、修改）

• 使用的设备信息

在分析元数据时可以使用命令窗口或者终端窗口来运行脚本或者二进制文件、使用操作系统的内置查看器、浏览Forensics Wiki取证操作以及使用网站来查看元数据，例如：

http://www.verexif.comhttps://www.thexifer.net

暗网通常被认为是一个邪恶和犯罪活动的地方，地下论坛以贩卖泄露信息为主，但使用它们也可以有其他正当和合法的理由。

目前最为活跃的暗网为 .onion，使用的 Tor 能通过代理跨多个系统的网络流量，以匿名方式访问互联网站点以及它自己的 .onion 服务，用户数据是从一台计算机跳到另一台计算机，最终到达目的地。因而目标站点不知道原始请求来自何处，因此用户的计算机是匿名的。这导致暗网上出现大量的非法内容，例如数据交易、毒品交易、网络犯罪、极端主义、色情内容等。而目前最活跃的地下论坛之一是BF论坛，能够收集到数据库、网站权限以及其他所泄露的信息。

作为 OSINT 分析者访问暗网以及地下论坛的目的：

作为蓝队方可以了解到所属单位组织是否有数据被泄露，以及被泄露后可快速进行安全加固来达到抑制和保护。

作为红队方可以通过爆破密码对所属单位组织已被泄露的账号进行口令爆破以及电子邮箱收集进行网络钓鱼攻击等。

在网上冲浪时发现某博主发布了一条放小烟花的视频，虽然并没有透漏出该地方是在哪里以及地标建筑没有任何说明，但是可以利用OSINT分析技术来定位出该拍摄视频的位置，内容如下：

通过将视频进行下载，然后可以利用Adobe Premiere、FFmpeg、free video to JPG converter等软件将视频中的每一帧图像提取出来。

可以利用Photoshop CC或者其他拼接图的软件将关键的图片进行拼接全景图来进行地理位置的分析。

从全景图可以看到某建筑的外表以及有两个关键性的商标，一个是左侧的来福士，一个是右侧的麦当劳，因为麦当劳在全国范围的分店居多，所以可以使用建筑外表和来福士来进行大概的地理位置的定位，通过某度识图建筑的外表获取到了相似的广场位置。

该图片识图结果出现的地标建筑为世茂国际广场，通过Google Hacking的语法搜索世茂国际广场，可以找到有上海、无锡、济南等地区有该广场。

由于该地理位置在国内，所以也可以使用大众点评等软件进行搜索“来福士”匹配合理的地理位置，通过筛选发现在济南的世茂国际广场有“来福士”的商家。

在掌握到合理的地理位置之后，可以配合使用地图软件来进行定位查看是否与视频中的周边一致。通过某地图软件进行全景查看后，发现该来福士的外表与视频中的地方相似。

通过查看对面街道，也发现了存在麦当劳，且大楼的外表与视频的一致。

通过视频的的拍摄角度分析，拍摄者是在该红圈的位置进行拍摄视频，地理位置为山东省济南市历下区泉城路26号世茂国际广场F1街道。

如今人工智能的理论和技术日益成熟，应用领域也不断扩大，在机器视觉、学习、自然语言处理 (NLP)、自主机器和机器人技术上都可能会帮助到OSINT的发展。无论网络安全、军事目的或医疗健康等领域，在侦察、信息收集、分析和过滤大量数据方面，人工智能都可能是促进 OSINT 流程的完美盟友。

目前，政府和情报机构已经在使用人工智能来帮助他们进行社会收集工作。军队也依赖人工智能来帮助他们在打击恐怖主义、网络攻击、虚假宣传和国家安全等方面取得成功。