OSINT是“开源情报”的缩写,指的是通过公开、开放的信息源来搜集、分析和利用情报的过程。这些信息源可以包括互联网上的公开网站、社交媒体、新闻、博客、论坛、政府公告和其他公开可访问的信息资源。OSINT的主要特点是信息是公开可用的。而不需要非法或者未经授权的渗透或者数据获取方法。OSINT是一种信息收集的方法,可以作为网络溯源工作的重要环节来帮助确定攻击者的身份和来源,今天的分享会深入分析框架中的具体细节,并且介绍如何使用其功能来加强网络溯源的能力。
1.网络溯源是一种基于特定事件、威胁或者网络攻击来确定攻击源头的过程。即我需要定位出实施某次网络攻击的个人或者团体。旨在识别攻击者或者破坏者
2.网络溯源涉及到网络日志分析、电子取证、攻击特征提取等技术。
3.网络溯源是一个动态的调查过程,例如攻击者实施攻击时的IP地址、手机号、姓名、身份证号、毕业院校以及工作单位。
网络溯源的起点——从某次具体的攻击事件中,提取出关键的、可用于后续分析的线索。
从哪里能够获取到攻击源?
攻击源可能是攻击者发起攻击的IP地址,或者是木马的回连C2地址,攻击payload中的dnslog域名信息,甚至可能是攻击者携带的自己常用的社交id或个人信息。
OSINT框架是由各个情报源汇聚的结果,本文尽量将工具集罗列全面,后期还会持续的扩大OSINT框架的能力。
4.1 通用的搜索引擎
主选Google搜索引擎
Google
https://www.google.com
Baidu
百度一下,你就知道
SearXNG
https://searx.be/search
Yandex
Yandex
You
https://you.com/
Bing
https://www.bing.com/
在使用搜索引擎时,还需要一些技巧
Google Hacking的技巧
|
1 |
site:bugbounty.huawei.com "漏洞" -Android |
我们在攻防对抗过程中,可能会找到很多关键字,比如攻击者在攻击报文中携带了自己的id: Hobby0y 、evil0day
参考 https://www.exploit-db.com/google-hacking-database
4.2 特殊的搜索引擎****
除了普通的搜索引擎外,这里再介绍三种特殊的搜索引擎
1.微信内容搜索引擎
2.知乎内容搜索引擎
3.网盘内网搜索引擎
以微信内容来说,我们在google搜索中,搜到的内容极少,我们查看了微信公众平台官网设置的robots协议,确实有如下设置:
4.3 网络威胁情报平台
目前市面上有很多很不错的威胁情报平台
其中微步在线威胁情报社区的数据是交全的,就以微步在线威胁情报平台为例
4.4 空间测绘引擎
空间测绘引擎是一种用于搜索和分析互联网上公开访问的设备,服务器和资源的工具。可以帮助用户发现和了解接入到互联网的设备信息。如开放端口、服务等信息。
使用空间测绘引擎的人员通常有以下几类
1.hacker
2.安全研究员
3.安全团队和科研人员
4.网络管理员
常见的空间测绘引擎有以下几种
Censys
Zoomeye
Fofa
Onyphe4.5 IP类
住宅IP和云IP的区别
https://ipinfo.io/
输入IP地址后,查看asn type信息,如果是isp的代表住宅IP,hosting代表机房IP
本地使用nslookup来查询,如果是云托管厂商分配的IP地址,是可以反查到他的内部域名的。
domaintools
https://whois.domaintools.com/
站长之家whois查询
中国互联网信息中心whois查询
埃文科技 https://www.ipuu.net/ 这个站点的IP查地理位置非常准
比如我查了我所在的IP地址 183.209.***.***
4.6 域名类
攻击者在实施网络入侵时,会带上自己的C2域名,用来木马回连,达到远程控制的目的。在java反序列化漏洞盛行以后,dnslog域名大量的出现在实现的攻防对抗中。
我们通过waf或者hips终端日志中,会捕获到很多攻击者携带的恶意域名,对这些域名深入的进行挖掘,可能会捕获到攻击者的真实身份。
通过已经获取到的域名,查看域名的注册人信息:姓名、手机号、邮箱。
https://whois.chinaz.com/站长之家提供了whois查询
现在的域名注册商提供了隐藏信息的服务,用户在注册域名的时候,选择了该项服务后,当使用whois来查询注册者信息时,个人信息都已经被隐藏起来了。
下图所示,域名在注册的时候,就选择了 隐藏个人信息的选项。
子域名查询
目前我已经搜集了部分子域名查询API接口。绝大多数是可以正常使用的,有些网站可能回随着时间的推移,慢慢下线了,同时也会有新的,更好用的API接口出世。需要持续的更新维护这些接口。
除此之外,根据域名,还可以去查询备案信息,前提是国内的域名。工信部规定,所有在国内使用的域名都必须经过ICP备案,那么备案信息也是公开查询的。
站长之家查备案 https://icp.chinaz.com/
4.7 云服务提供商
云服务商通常会在”密码找回“功能中提供了通过公网IP地址找回租户账号登录的途径。这对于我们防守队员来说,也提供了一定的线索。
4.8 漏洞库
在攻防对抗过程中,一旦服务器被攻击者入侵,我们需要能够快速的定位到服务器的漏洞,可以通过公开的漏洞库来查询是否存在NDAY漏洞的攻击,也可以订阅漏洞库网站,每天都可以关注最新的漏洞情况。
MITRE CVE – 识别、定义和分类公开披露的网络安全漏洞
GitHub Advisory Database – 安全漏洞数据库,包括 CVE 和 GitHub 起源的安全建议
cloudvulndb.org – 开放云漏洞和安全问题数据库
osv.dev – 开源漏洞
Vulners.com – 您的安全情报搜索引擎
opencve.io – 跟踪 CVE 更新和收到新漏洞警报的最简单方法
security.snyk.io – 开源漏洞数据库Mend Vulnerability Database – 最大的开源漏洞数据库
Rapid7 – DB – 漏洞和利用数据库
CVEDetails – 终极安全漏洞数据源
VulnIQ – 漏洞情报和管理解决方案
SynapsInt – 统一的 OSINT 研究工具
Aqua Vulnerability Database – 开源应用程序和云原生基础架构中的漏洞和弱点
Vulmon – 漏洞利用搜索引擎
VulDB – 排名第一的漏洞数据库
ScanFactory – 实时安全监控
Trend Micro Zero Day Initiative – 零日计划研究人员发现的公开披露的漏洞
谷歌零项目– 包括零日在内的漏洞
4.9 地图类
战争地图 https://liveuamap.com/
4.10 交通运输类
小号的radarbox24:https://www.radarbox24.com/
全球船舶航线图:https://www.marinetraffic.com/en/ais/home/shipid:465419/zoom:4
全球船舶监控:https://www.vesselfinder.com/
4.11 代码搜索引擎
主要关注的代码托管平台有四个:github.com/ gitlab.com/ gitee.com/ bitbucket
github
github全面上线了自研得搜索引擎来代替ES,新版的代码搜索于2023.04.10起不再支持按时间排序,意味着现有的扫描工具已经无法扫描到最新提交的代码。
https://github.blog/changelog/2023-03-10-changes-to-the-code-search-api/
https://docs.github.com/en/rest/search?apiVersion=2022-11-28#search-code
1.代码搜索速率限制将与其他搜索类型的速率限制分开。单独的代码搜索类别的速率限制为每分钟 10 个请求
2.我们将不再支持对代码搜索结果进行排序。一旦这些更改生效,所有代码搜索结果将按最佳匹配排序
3.所有代码搜索 API 端点都需要身份验证。此更改仅影响存储库范围的查询,因为所有其他查询类型已经需要身份验证
gitlab
https://gitee.com/koode/kooder
Kooder 是 Gitee 团队开发的一个代码搜索系统,为 Gitee/GitLab/Gitea 提供代码搜索服务
reposearch
https://sourcegraph.com/search
https://searchcode.com/?lan=23&q=%22huawei.com%22支持从多个代码平台中搜索代码
https://gist.github.com/search?q=&ref=searchresults
中收集到攻击者携带的信息:某个IP,某个用户名,某个域名,或者某个手机号,或者某个邮箱等信息,最终溯源到具体的人或者组织。
搜索引擎检索关键字
最直接,最有效的方法,就是关键字搜索,想要达到预期的效果,有一些前置条件:
1.关键字越有个性,越小众,越有特点,越容易精准搜索到相关信息,大众化的关键字不容易找到想要的结果。
2.目标必须在互联网上有一定的活跃度
3.使用AIO,多个搜索引擎一起搜。
已注册过的网站查询
通过一个手机号,或者邮箱,或者用户名,可以查询其注册过的网站,目的是对目标用户进行用户画像,大致能够判断出这个手机号在互联网上的活跃程度。如果这个手机号没有在任何主流网站中注册过,说明这个手机号价值不大,没有深入调查的必要,可能是新注册的手机号,也有可能不是攻击者私人使用的手机号,或者使用的是其家属的手机号。
社交网络信息收集
收集常用的社交软件APP/软件,可以将手机号存入到通讯录,然后再以下社交账号内开启通讯录同步。可以获取对方社交账号。
1. 关闭所有社交号的手机号搜索功能,不能随意在论坛、贴吧上公开自己的手机号
原文始发于微信公众号(华为安全应急响应中心):干货来了|OSINT框架在网络溯源中的使用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论