Ferramentas OSINT e como você aprende como usá-las

Espero que isso se torne um recurso útil para a Inteligência de código aberto (OSINT) e para encontrar e aprender ausar as ferramentas de osint .

Capítulo 1: Recolha de dados para fins de inteligência

Capítulo 2: Análise de link

Capítulo 3: Outras análises de dados

Capítulo 4: listas OSINT de domínios / IPs usados ​​para fins maliciosos (graças inteiramente ao InfosecTDK )

Capítulo 5: recursos de treinamento OSINT

Capítulo 1: Recolha de dados para fins de inteligência

Com apenas uma menção superficial, qualquer site de redes sociais , como Facebook , Twitter e até mesmo Peerlyst,é um recurso de coleta de dados OSINT . Não é necessário mencionar isso especificamente, mas aqui está um bom guia .

Ferramenta: Shodan

O mecanismo de busca para a Internet das coisas. Shodan é o primeiro motor de busca do mundo para dispositivos conectados à Internet.

Um tutorial e um iniciador do Shodan. E Hack Like a Pro - Como encontrar metas vulneráveis ​​usando Shodan - O mecanismo de pesquisa mais perigoso do mundo

_______

Ferramenta: ThreatPinch Lookup browser plugin

Cria ferramentas sobre cada site para IPv4 , MD5 , SHA2, CVE ou qualquer COI personalizado que você definir. Projetado para funcionar com qualquer API, personalização incentivada. É a ameaça do infosec e a faca do exército suíço OSINT para o seu navegador. Investigue menos, levando seu contexto com você. Documentação aqui: https://github.com/cloudtracer/ThreatPinchLookup/wiki

_______

Ferramenta: NetDB

Versão beta até agora deste motor de busca IoT. 
Não existem tutoriais até agora que posso encontrar.

_______

Ferramenta: Censys

O Censys é um mecanismo de pesquisa que permite que os cientistas da computação façam perguntas sobre os dispositivos e redes que compõem a Internet. Impulsionada pela digitalização na Internet, a Censys permite aos pesquisadores encontrar hosts específicos e criar relatórios agregados sobre como dispositivos, sites e certificadossão configurados e implantados. [ Mais informações ]

Censys tutorial e visão geral . Começando com o MISP .

_______

Ferramenta: HoneyDB

Ameaça Informação API

A HoneyDB Threat Information API está aberta para qualquer pessoa consumir e / ou contribuir. Os pontos finais da API atual são:

• Hosts ruins
• Feed de ameaça do Twitter
• HoneyPy Sensor

Documentação da API

_______

Nova ferramenta: datasploit

Uma ferramenta para executar várias técnicas de OSINT , agregar todos os dados brutos, visualizá-lo em um painel e facilitar o alerta e monitoramento dos dados.

Apresentação de slideshare .

_______

Coleção de recursos:

Github Dorks:

OSINT - Github Dorks

A pesquisa do Github é uma característica bastante poderosa e útil e pode ser usada para pesquisar dados confidenciais nos repositórios. Coleção de dorks Github que podem revelar informações pessoais e / ou organizacionais sensíveis, como chaves privadas , credenciais , tokens de autenticação , etc.

Http://securityblog.gr/4082/osint-github-dorks/

_______

Ferramenta: OnionScan

Uma ferramenta para escanear serviços de cebola para problemas de segurança.

Usando OnionScan com Shodan para tela escura OSINT parte 1 e parte 2

_______

Ferramenta: estrutura de reconhecimento avançado (www.osintframework.com)

Estrutura OSINT focada em coletar informações de ferramentas ou recursos gratuitos . Tudo incluído no quadro deve ser totalmente gratuito, devolver algumas informações gratuitas ou, pelo menos, ter uma versão de teste gratuitadisponível.

Eu criei originalmente essa estrutura com um ponto de vista de segurança da informação . Desde então, a resposta de outros campos e disciplinas tem sido incrível. Gostaria de poder incluir outros recursos OSINT , especialmente de campos fora do infosec. Por favor, deixe-me saber sobre qualquer coisa que possa estar faltando!

Nenhum tutorial encontrado. Github repo.

_______

Ferramenta: motor de pesquisa de técnicas da Intel

Bem-vindo à nova ferramenta de pesquisa IntelTechniques . Use os links para a esquerda para acessar todas as minhas ferramentas de pesquisa personalizadas. A seção OSINT LINKS contém centenas de recursos de pesquisa on-line. Clique em qualquer categoria para expandir a seleção.

Um website.

_______

Ferramenta: MISP

MISP Platform Malware Compartilhamento de informações e compartilhamento de ameaças .

Documentação . Material de treinamento .

_______

Ferramenta: Virustotal

O virustotal é um serviço gratuito que analisa arquivos e URLs suspeitos e facilita a detecção rápida de vírus, worms , trojans e todos os tipos de malware.

Documentação Virustotal Como usar o video VT . Script total do API Python do vírus

_______

Ferramenta: XForce Exchange

O IBM X-Force Exchange é uma plataforma de compartilhamento de inteligência de ameaças que você pode usar para pesquisar ameaças de segurança , agregar inteligência e colaborar com colegas.

Usuários registrados tiveram acesso integrado a todas as funcionalidades do site: pesquisa, comentários , coleções e compartilhamento. Os visitantes podem pesquisar e visualizar relatórios apenas.

Documentação da API. PERGUNTAS FREQUENTES.

_______

Ferramenta :spiderfoot

SpiderFoot automatiza a inteligência de código aberto . É uma plataforma modular escrita em Python que reúne dados de diferentes fontes e apresenta visualmente os dados e permite a exportação de dados.

Saiba como usar Spiderfoot. + Instalação e instruções. Vídeo de introdução Spiderfoot .

_______

Ferramenta: FOCA ( https://www.elevenpaths.com/labstools/foca/index.html )

FOCA (Fingerprinting Organizations with Collected Archives) é uma ferramenta usada principalmente para encontrar metadados e informações ocultas nos documentos de suas varreduras. Esses documentos podem estar em páginas da web, e podem ser baixados e analisados ​​com FOCA.

Como usar o vídeo FOCA . Como metadados extras usando o blog FOCA

_______

Ferramenta : Robtex

Pretendemos tornar a Robtex a ferramenta de pesquisa de DNS gratuita mais rápida e abrangente na Internet

Como realizar pesquisas de DNS

_______

Ferramenta: BotScout

BotScout ajuda a prevenir web automatizados de scripts , conhecidos como "bots", de registrar em fóruns, poluindo bancos de dados , disseminação de spam , e abusando formulários em sites da web. Fazemos isso rastreando os nomes, IPs e endereços de e-mail que os bots usam e registrando- os como assinaturas únicaspara referência futura. Nós também fornecemos uma API simples e poderosaque você pode usar para testar formulários quando eles são enviados em seu site.

Documentação da API

_______

Ferramenta: MalwarePatrol

Lista de blocos de código aberto : nossos dados estão disponíveis na forma de listas de blocos de URL. Em troca da valiosa informação disponível nestas listas de bloqueio, pedimos apenas que você compartilhe com a comunidade qualquer nova ameaça que você possa detectar , enviando um email para void@malware.com.br .

How-to's

_______

Ferramenta: Honeypot Checker

Para usar o verificador de honeypot gratuito, vá para o site, inscreva- se (grátis) e faça login , clique em serviços -> Lista negra de HTTP e veja a chave da API lá.

Usando http: BL

_______

Ferramenta: Cymon

Open Threat Intelligence . Cymon é o maior rastreador aberto de malware , phishing , botnets, spam e mais

Documentação da API

_______

Ferramenta : massiva-octo-spice anteriormente conhecida como CIF de Framework de Inteligência Coletiva

Nosso projeto emblemático é um sistema de gerenciamento de inteligência de ameaça cibernética . O CIF permite que você combine informações de ameaças mal - intencionadas conhecidas de muitas fontes e use essas informações para identificação (resposta a incidentes), detecção (IDS) e mitigação (rota nula). Os tipos mais comuns de inteligênciade ameaças armazenados em CIF são endereços IP , domínios e URLs que são observados como relacionados a atividades mal-intencionadas. Estrutura de Inteligência Coletiva .

O livro CIF.

_______

Ferramenta: Just-Metadata

Just-metadata é um Intel Reunião e Análise de Metadados de IP

Descrição e recurso

_______

Ferramenta: combinar

Combine reúne feeds de inteligência de ameaça de fontes publicamente disponíveis

Você pode executar a ferramenta principal com combine.py:

Website, parece muito novo para ter tutoriais.

_______

Ferramenta : PTES OSINT Padrão de execução do teste de penetração

Muitos links e dicas de coleta de dados

Local na rede Internet

_______

Tool: Hostintel https://github.com/keithjjones/hostintel

Um aplicativo modular Python para coletar inteligência para hosts maliciosos.

Um guia por CyberPunk

_______

Livros:

Técnicas de Inteligência de Fonte Aberta: recursos para pesquisar e analisar informações on-line

Guia completo para Shodan

Técnicas de Inteligência de Fonte Aberta - 5ª Edição (2016)

Via i-sight: http://i-sight.com/resources/101-osint-resources-for-investigators/ - para as listas de links / ferramentas, clique no link, citei suas categorias abaixo:

Muitos pesquisadores gostam de começar com uma busca geral usando uma variedade de motores de busca. O Google é sempre um ótimo lugar para começar, mas você ficará surpreso com os diferentes resultados obtidos quando você usa diferentes ferramentas de inteligência de código aberto.

Procurando Pessoas

Ao usar OSINT para procurar uma pessoa, considere todas as variações possíveis do nome da pessoa. Inclua versões abreviadas do nome da pessoa, apelidos, nomes de usuários ou qualquer versão do nome que você acha que eles podem usar.

Você também pode procurar alguém por seu número de telefone , endereço de e-mail , endereço físico , uma imagem ou através de artigos que os mencionar.

Pesquisando redes sociais e sites de namoro

Usando OSINT, você pode encontrar não só o perfil de uma pessoa, mas também descobrir o que eles estão falando se eles participam de fóruns on-line em plataformas de redes sociais . A procura de conexões secundárias, como amigos, familiares, colegas e ex-parceiros, pode revelar uma grande quantidade de informações sobre seu alvo e é especialmente útil se suas configurações de segurança não permitem o acesso a informações de perfil e cronogramas.

Muitos sites que não são especificamente sites de redes sociais permitem aos usuários configurar perfis, e estes podem ser tão reveladores quanto os sites de redes sociais.

Pesquisando Imagens e Vídeo

Também procure imagens e sites sociais de vídeo para encontrar fotos , vídeos e discussões relacionadas a eles. Você ficaria surpreso com a quantidade de informações que você pode obter dos recursos OSINT.

Comunidades e Blogs Online

Blogs, comunidades on-line e sites de hospedagem de domínio gratuito são todas fontes de OSINT e podem ser repositórios valiosos de informações. Pesquise estes usando nomes, nomes de usuários, endereços de e-mail e números de telefone.

Classificados

Existem várias razões pelas quais você pode querer pesquisar anúncios classificados como fonte de OSINT no decorrer de uma investigação. Em uma investigação de roubo , o alvo pode estar tentando vender um item roubado , ou pode estar procurando itens similares on-line. Você também pode coletar informações sobre compradores e vendedores de listas classificadas, incluindo informações de localização .

Verificação em segundo plano

A realização de verificações de antecedentes requer habilidades específicas e conhecimento de procedimentos e recursos. Os seguintes links foram fornecidos por Cynthia Hetherington. Para mais informações, visite http://www.hetheringtongroup.com .

Sites de pesquisa de negócios

Ao realizar investigações de devida diligência , ou mesmo pesquisar uma pessoa que você vai entrevistar em uma investigação, é uma boa idéia realizar uma pesquisa em uma variedade de sites de pesquisa de negócios da OSINT. Esta lista não é abrangente, mas você pode usá-la para começar, depois siga a trilha.

Pesquisas especializadas e na Web Profunda

Existem muitos sites que não são convencionais, podem ser enterrados, difíceis de encontrar ou simplesmente não indexados pelos motores de busca gerais. Quando você sabe o que está procurando, você pode pesquisarmais profundamente em sua pesquisa , indo diretamente para esses sites.

Pesquisas de GeoLocalização

A geolocalização busca pode ajudá-lo a rastrear um veículo que tem e Automatic Packet Relatórios sistema(APRS), identifique o paradeiro de atividade de mídia social ou identificar a localização física de um endereço IP.

/ Fim da visão. Para ferramentas / links específicos relacionados a cada uma das categorias, siga o link isight: http://i-sight.com/resources/101-osint-resources-for-investigators/

__________________________________________________________________________

Capítulo 2: Análise de link

Ferramenta :Maltego

Por @paterva https://www.paterva.com/

Aprendendo a usá-lo para iniciantes absolutos: https://www.youtube.com/watch?v=sP-Pl_SRQVo&list=PLC9DB3E7C258CD215

Conjunto de vídeo tutorial completo: https://www.youtube.com/playlist?list=PLC9DB3E7C258CD215

_______

Ferramenta : Palantir Gotham / Metropolis

Palantir Gotham :

As organizações têm dados. Muitos disso. Dados estruturados como arquivos de log , planilhas e tabelas. Dados não estruturados como e-mails , documentos, imagens e vídeos. Esses dados são normalmente armazenados em sistemasdesconectados , onde se diversifica rapidamente em tipo, aumentando exponencialmente em volume e tornando-se cada vez mais difícil de usar todos os dias.

As pessoas que dependem desses dados não pensam em linhas, colunas ou texto bruto. Eles pensam em termos da missão de sua organização e dos desafios que enfrenta. Eles precisam de uma maneira de fazer perguntas sobre seus dados e receber respostas em um idioma que entendam. Digite Palantir Gotham.

Palantir Metropolis :

A plataforma Palantir Metropolis é ideal para pesquisas quantitativas em larga escala. Palantir Metropolis integra-se em múltiplas fontes de dados, reunindo informações diferentes em um ambiente de análise quantitativa unificada.

Até agora, descobrimos que é perfeito para monitorar e analisar dados de reivindicações de seguros , fluxo de tráfego da rede e padrões de negociação financeira , mas os resultados são infinitos.

Não há tutoriais ou vídeos decentes a serem encontrados.

_______

Ferramenta : o projeto FOSS, Lumify.io

Há uma ótima visão escondida em seus dados existentes. Você tem as ferramentas para descobrir e explorá- lo? Nós não, então decidimos construí-los. Na Altamira , lideramos a criação de uma plataforma de integração , análise e visualização de dados de código aberto . Basicamente, é uma forma de agregar seus dados, organizá-lo e extrair informações úteis. Lumify.io .

Vídeos. Documentação.

__________________________________________________________________________

Capítulo 3: Outras análises de dados

Nova ferramenta: datasploit

Uma ferramenta para executar várias técnicas de OSINT, agregar todos os dados brutos, visualizá-lo em um painel e facilitar o alerta e monitoramento dos dados.

Apresentação de slideshare .

_______

Ferramenta: OpenGraphiti

O OpenGraphiti é um mecanismo de visualização de dados 3D gratuito e de código aberto para cientistas de dados para visualizar redes semânticas e trabalhar com elas. Ele oferece uma API fácil de usar com várias bibliotecas associadas para criar conjuntos de dados personalizados. Ele aproveita o poder das GPUs para processar e explorar os dados e se senta em um motor 3D caseiro.

Instruções

_______

Outras ferramentas:

Há uma lista de mais de 30 ferramentas gratuitas aqui .

Tem sugestões?

Livros:

Criando um Programa de Segurança Inteligente

Técnicas de Inteligência de Fonte Aberta: recursos para pesquisar e analisar informações on-line

Guia do usuário Maltego v3

Técnicas de Inteligência de Fonte Aberta - 5ª Edição (2016)

E há sempre a fantástica análise de malware que possui uma seção de inteligência de ameaças de código aberto.

__________________________________________________________________________

Lista OSINT de domínios / IP usados ​​para fins maliciosos (graças inteiramente ao InfosecTDK )

Uma coleção de links de inteligência de código aberto

Https://reputation.alienvault.com/reputation.generic 

http://atrack.h3x.eu/c2 

https://www.autoshun.org/files/shunlist.csv 

https://www.badips.com/get / List / any / 2? Age = 7d 

http://osint.bambenekconsulting.com/feeds/c2-ipmasterlist.txt 

http://osint.bambenekconsulting.com/feeds/dga-feed.txt http: // www. Binarydefense.com/banlist.txt https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/bitcoin_nodes_1d.ipset http://lists.blocklist.de/lists/all.txt http: //lists.blocklist .de / lists / all.txt https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/botscout_1d.ipset http://danger.rulez.sk/projects/bruteforceblocker/blist.php http: // Cinsscore.com/list/ci-badguys.txt















Https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/cruzit_web_attacks.ipset 

http://cybercrime-tracker.net/all.php 

http://www.dshield.org/feeds/suspiciousdomains_High.txt 

http : //feeds.dshield.org/top10-2.txt 

http://rules.emergingthreats.net/open/suricata/rules/botcc.rules 

http://rules.emergingthreats.net/open/suricata/rules/compromised -ips.txt 

https://feodotracker.abuse.ch/blocklist/?download=domainblocklist 

https://feodotracker.abuse.ch/blocklist/?download=ipblocklist 

http://blocklist.greensnow.co/greensnow.txt 

https : //raw.githubusercontent.com/Neo23x0/Loki/master/iocs/otx-c2-iocs.txt 

https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/malc0de.ipset

Https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/malwaredomainlist.ipset 

http://malwaredomains.lehigh.edu/files/domains.txt https://lists.malwarepatrol.net/cgi/getfile? Recibo = f1417692233 & product = 8 & list = dansguardian http://malwareurls.joxeankoret.com/normal.txt https://www.maxmind.com/pt/proxy-detection-sample-list https://myip.ms/files/blacklist /htaccess/latest_blacklist.txt http://www.nothink.org/blacklist/blacklist_malware_irc.txt http://www.openbl.org/lists/base.txt https://openphish.com/feed.txt https: / /palevotracker.abuse.ch/blocklists.php?download=combinedblocklist https://raw.githubusercontent.com/firehl/blocklist-ipsets/master/proxylists_1d.ipset



















https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/ri_web_proxies_30d.ipset 

http://report.rutgers.edu/DROP/attackers 

http://sblam.com/blacklist.txt 

http: // laboratórios .snort.org / feeds / ip-filter.blf 

https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/socks_proxy_7d.ipset 

https://sslbl.abuse.ch/blacklist/sslipblacklist.csv 

https: //raw.githubusercontent.com/firehol/blocklist-ipsets/master/sslproxies_1d.ipset 

https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1 

https: //torstatus.blutmagie. De / ip_list_all.php / Tor_ip_list_ALL.csv 

http://www.voipbl.org/update/ 

http://vxvault.siri-urz.net/URL_List.php 

https://zeustracker.abuse.ch/blocklist.php? Download = domainblocklist

Https://zeustracker.abuse.ch/blocklist.php?download=badips 

https://zeustracker.abuse.ch/monitor.php?filter=all 

https://zeustracker.abuse.ch/blocklist.php?download= Comprometido

_________________________________________________________