Usando mecanismos de pesquisa OSINT para coletar inteligência sobre ameaças cibernéticas
Usando mecanismos de pesquisa OSINT para coletar inteligência sobre ameaças cibernéticas
Usando mecanismos de pesquisa OSINT para coletar inteligência sobre ameaças cibernéticas
OSINT (Open Source Intelligence), refere-se às informações de inteligência coletadas e analisadas de fontes disponíveis publicamente. A própria Internet é uma enorme plataforma de big data e um espaço de inteligência coletiva. A maior parte da informação na Internet, incluindo meios de comunicação, motores de busca como o Google, blogs e redes sociais, está disponível publicamente, facilitando a aquisição de informações. As informações públicas podem ser visualizadas por qualquer pessoa, mas nem tudo deve ser visto por todos. Algumas informações incluem dados sensíveis, como dados pessoais, segurança nacional e dados confidenciais corporativos, que não devem ser tornados públicos.
OSINT pode ser utilizado de diversas maneiras dependendo da finalidade a que se destina e é cada vez mais necessário no campo da segurança cibernética. Este artigo explica como o OSINT pode ser usado na segurança cibernética para responder a ameaças potenciais.
Usando OSINT em segurança cibernética
Na cibersegurança, o OSINT não é utilizado apenas para a análise de incidentes de segurança já ocorridos, mas também para prever potenciais ameaças à segurança. As informações baseadas em OSINT que podem prever possíveis ameaças à segurança são comumente conhecidas como “Inteligência sobre ameaças cibernéticas”. O alvo de coleta do Cyber Threat Intelligence inclui todos os sites da Internet, desde a Surface Web até a Dark Web. Embora muitas vezes se pense que hackers e ataques cibernéticos sejam descobertos principalmente na Dark Web, a maioria das informações sobre ameaças cibernéticas é, na verdade, coletada na Surface Web.
Informações sobre ameaças cibernéticas que o OSINT pode coletar
- Informações relacionadas à segurança/defesa nacional
- Equipamento vulnerável a CVEs
- Informações pessoais/vazamentos de dados
- Informações do sistema de infraestrutura
- Servidores C2 com malware
- Informações sobre crimes cibernéticos e Dark Web
Embora os incidentes de segurança já ocorridos sejam geralmente compartilhados e negociados entre hackers na Dark Web, ameaças potenciais tendem a ocorrer na Surface Web. Informações confidenciais expostas em mecanismos de busca como Google, Bing e Naver, ou informações que podem ser obtidas por meio de endereços IP ou endereços de domínio, são as informações reais que os hackers coletam para seus ataques. Os hackers examinam continuamente a vasta Internet em busca de superfícies atacáveis. Páginas web contendo informações confidenciais que não deveriam ser expostas em mecanismos de busca, ou vulnerabilidades graves em aplicações e domínios, como servidores operando em endereços IP corporativos e institucionais, são as informações de ameaças que os hackers desejam encontrar.
Portanto, é continuamente enfatizado nos padrões recentes da indústria de segurança cibernética o uso do OSINT para verificar informações sobre ameaças cibernéticas e remover superfícies atacáveis antes de se tornar alvo de um hacker.
O que você pode fazer com inteligência contra ameaças cibernéticas
Há muitas informações sobre ameaças incluídas em endereços IP e informações de domínio. Ao utilizar a inteligência de endereços IP, você pode identificar vulnerabilidades em endereços IP e domínios em sua posse. Você também pode detectar e prevenir endereços IP suspeitos e domínios maliciosos que podem ser usados para ataques.
- Endereço IP/Informações de porta: endereços IP ou portas maliciosas, endereços IP usados para distribuição de malware, endereços IP usados para contornar (VPN, Tor, etc.)
- Informações de domínio: domínios de phishing, phishing de voz usado para crimes cibernéticos, domínios smishing
- Certificados SSL: certificados SSL autoassinados maliciosos, certificados SSL roubados ou falsificados
1. Identificação de invasores por meio de endereço IP/informações de porta
As informações do endereço IP podem ser usadas como elemento para identificar invasores. Sites criados para distribuir malware usam IPs hospedados ou endereços IP estrangeiros que não são IPs normais de países. Portanto, o ASN (Número de Sistema Autônomo) nas informações do endereço IP pode ser usado para identificar o serviço de hospedagem na web preferido pelos invasores cibernéticos.
Você também pode coletar informações significativas sobre ameaças cibernéticas a partir das informações da porta de um endereço IP. Por exemplo, portas com números altos, além das portas de serviço da Web comumente usadas 80/HTTP e 443/HTTPS, ou as portas 8080 e 8443 usadas em empresas, são normalmente usadas para fins maliciosos.
2. Detecção de ameaças por meio de informações de endereço de domínio
Também há muitas informações sobre ameaças contidas nas informações do domínio. Sites de phishing, servidores C2 e servidores de malware podem ser inferidos a partir de informações de hospedagem de domínio. Em particular, domínios nacionais gratuitos de nível superior, como .cf, .to, .tk, .pw e .ga, são frequentemente usados para ataques de phishing e, portanto, são mais propensos a serem domínios maliciosos. Domínios maliciosos geralmente usam técnicas como Cloudflare CDN para ocultar seus endereços IP ou usam padrões HTTP específicos (Content-Leng: 0) ou RTLO URL Tricks1).
1) RTLO (substituição da direita para a esquerda): RTLO usa Unicode (código de caracteres árabes), que substitui da direita para a esquerda. Se o RTLO for aplicado ao nome de arquivo ‘gepj.xyz’ no caminho da URL, ele será reconhecido como ‘zyx.jpeg’.
3. Detectando ameaças por meio de análise de certificado SSL
Um certificado SSL é uma tecnologia usada para criptografar dados transmitidos entre um site e um navegador para proteger com segurança a conexão de um usuário à Internet. A maioria dos sites maliciosos criados por hackers não estão equipados com certificados SSL legítimos.
Ao examinar as informações sobre o proprietário da assinatura do certificado, como Emissor, Nome Comum, Nome do Assunto ou Campos do Assunto, é possível determinar se o certificado é um certificado privado não autorizado ou um certificado autoemitido. Além disso, ataques que utilizam certificados SSL roubados para disfarçar ransomware e malware como programas legítimos também podem ser detectados. Além disso, é possível detectar servidores de comando e controle (C2) através do perfil de impressão digital do protocolo TLS (JARM, JA3).
Informações sobre ameaças de malware encontradas por meio do mecanismo de pesquisa OSINT, IP criminoso
Os mecanismos de pesquisa OSINT podem ser usados para coletar informações sobre ameaças cibernéticas. Criminal IP é um mecanismo de pesquisa que fornece várias informações sobre ameaças cibernéticas, como endereços IP, domínios e certificados SSL.
A seguir estão exemplos de detecção de informações de ameaças em malware usando Criminal IP, um mecanismo de pesquisa OSINT .
Detectando malware usando informações de endereço IP com o mecanismo de pesquisa OSINT, Criminal IP
- Ladrão de informações - Granda Misha (também conhecido como Misha Stealer)
https://www.criminalip.io/asset/search?query=%22UIKit%22+title%3A%22misha%22
- Ladrão de informações - Ladrão de colecionador
https://www.criminalip.io/asset/search?query=Collector+Stealer
- Ladrão de informações - Titan Stealer
https://www.criminalip.io/asset/search?query=title%3ATitan+Stealer
- Servidor de comando e controle de malware (C2) — Cobalt Strike Beacon
https://www.criminalip.io/asset/search?query=tag%3Acobalt+strike
Pesquisando Crypto Bots usando informações de endereço IP com o mecanismo de pesquisa OSINT, Criminal IP
- Malware que infecta servidores de mineração de moedas — DeepMine
https://www.criminalip.io/asset/search?query=deepMiner.Anonymous
- Malware infectando servidores de mineração de moedas — CoinHive
https://www.criminalip.io/asset/search?query=CoinHive
Informações de vulnerabilidade CVE encontradas com o mecanismo de pesquisa OSINT, IP criminoso
Além do malware, o Criminal IP também pode localizar servidores com informações graves de vulnerabilidade CVE que podem ser alvo de hackers.
A seguir estão exemplos de uso do Criminal IP para encontrar servidores com vulnerabilidades CVE.
- Equipamento de segurança Citrix com vulnerabilidades CVE
https://www.criminalip.io/asset/search?query=title%3A%22Citrix+Gateway%22
- Dispositivos Fortinet UTM
https://www.criminalip.io/asset/search?query=cve_id%3ACVE-2022-40684
https://www.criminalip.io/asset/search?query=%22099f1f4fbc3320c6f8260568de9e1815%22
Além dos casos apresentados acima, existem inúmeras maneiras de utilizar o OSINT e a inteligência de ameaças cibernéticas do Criminal IP. Você pode começar a coletar informações OSINT de segurança cibernética imediatamente usando a pesquisa de tags e filtros do Criminal IP, junto com a API.
Fonte de dados : IP criminal (https://www.criminalip.io)
Este relatório é baseado em dados do Criminal IP, um mecanismo de busca de Inteligência de Ameaças Cibernéticas. Crie hoje uma conta Criminal IP gratuita para acessar os resultados da pesquisa citados no relatório e pesquisar informações mais amplas sobre ameaças. [Lançamento do serviço oficial do IP criminoso]
Criminal IP é um mecanismo de busca abrangente de Cyber Threat Intelligence baseado em OSINT. Visite www.criminalip.io/
Comentários
Postar um comentário