@henry_terrence

Best 25 OSINT Tools

2021-06-28T10:57:15.262Z

1. OSINT FRAMEWORK

While OSINT FRAMEWORK isn't a tool to be run on your servers, it's a very useful way to get valuable information by querying free search engines, resources, and tools publicly available on the Internet. They are focused on bringing the best links to valuable sources of OSINT data.

While this web application was originally created focused on IT security, with the time it has evolved and today you can get other kinds of information from other industries as well. Most of the websites it uses to query the information are free, but some may require paying a low fee.

OSINT Framework

2. CheckUserNames

CheckUserNames is an online OSINT tool that can help you to find usernames across over 170 social networks. This is especially useful if you are running an investigation to determine the usage of the same username on different social networks.

It can be also used to check for brand company names, not only individuals.

3. HaveIbeenPwned

HaveIbeenPwned can help you to check if your account has been compromised in the past. This site was developed by Troy Hunt, one of the most respected IT security professionals of this market, and it's been serving accurate reports since years.

If you suspect your account has been compromised, or want to verify for 3rd party compromises on external accounts, this is the perfect tool. It can track down web compromise from many sources like Gmail, Hotmail, Yahoo accounts, as well as LastFM, Kickstarter, Wordpress.com, Linkedin and many other popular websites.

Once you introduce your email address, the results will be displayed, showing something like:

HaveIbeenPwned

4. BeenVerified

BeenVerified is another similar tool that is used when you need to search people on public internet records. It can be pretty useful to get more valuable information about any person in the world when you are conducting an IT security investigation and a target is an unknown person.

After done, the results page will be displayed with all the people that match the person's name, along with their details, geographic location, phone number, etc. Once found, you can build your own reports.

The amazing thing about BeenVerified it's that it also includes information about criminal records and official government information as well.

BeenVerified background reports may include information from multiple databases, bankruptcy records, career history, social media profiles and even online photos.

5. Censys

Censys is a wonderful search engine used to get the latest and most accurate information about any device connected to the internet, it can be servers or domain names.

You will be able to find full geographic and technical details about 80 and 443 ports running on any server, as well as HTTP/S body content & GET response of the target website, Chrome TLS Handshake, full SSL Certificate Chain information, and WHOIS information.

6. BuiltWith

BuiltWith is a cool way to detect which technologies are used at any website on the internet.

It includes full detailed information about CMS used like Wordpress, Joomla, Drupal, etc, as well as full depth Javascript and CSS libraries like jquery, bootstrap/foundation, external fonts, web server type (Nginx, Apache, IIS, etc), SSL provider as well as web hosting provider used.

BuiltWith also lets you find which are the most popular technologies running right now, or which ones are becoming trending.

Without any doubt, it is a very good open source intelligence tool to gather all the possible technical details about any website.

7. Google Dorks

While investigating people or companies, a lot of IT security newbies forget the importance of using traditional search engines for recon and intel gathering.

In this case, GOOGLE DORKS can be your best friend. They have been there since 2002 and can help you a lot in your intel reconnaissance.

Google Dorks are simply ways to query Google against certain information that may be useful for your security investigation.

Search engines index a lot of information about almost anything on the internet, including individual, companies, and their data.

Some popular operators used to perform Google Dorking:

Filetype: you can use this dork to find any kind of filetypes.
Ext: can help you to find files with specific extensions (eg. .txt, .log, etc).
Intext: can perform queries helps to search for specific text inside any page.
Intitle: it will search for any specific words inside the page title.
Inurl: will look out for mentioned words inside the URL of any website.

Log files aren't supposed to be indexed by search engines, however, they do, and you can get valuable information from these Google Dorks, as you see below:

Google Dorks

Now let's focus on other more practical tools used by the most respected InfoSec professionals:

8. Maltego

Is an amazing tool to track down footprints of any target you need to match. This piece of software has been developed by Paterva, and it's part of the Kali Linux distribution.

Using Maltego will allow you to launch reconnaissance testes against specific targets.

One of the best things this software includes is what they call 'transforms'. Transforms are available for free in some cases, and on others, you will find commercial versions only. They will help you to run a different kind of tests and data integration with external applications.

In order to use Maltego you need to open a free account on their website, after that, you can launch a new machine or run transforms on the target from an existing one. Once you have chosen your transforms, Maltego app will start running all the transforms from Maltego servers.

Finally, Maltego will show you the results for the specified target, like IP, domains, AS numbers, and much more.

9. Recon-Ng

Recon-ng comes already built in the Kali Linux distribution and is another great tool used to perform quickly and thoroughly reconnaissance on remote targets.

This web reconnaissance framework was written in Python and includes many modules, convenience functions and interactive help to guide you on how to use it properly.

The simple command-based interface allows you to run common operations like interacting with a database, run web requests, manage API keys or standardizing output content.

Fetching information about any target is pretty easy and can be done within seconds after installing. It includes interesting modules like google_site_web and bing_domain_web that can be used to find valuable information about the target domains.

While some recon-ng modules are pretty passive as they never hit the target network, others can launch interesting stuff right against the remote host.

Recon-Ng

10. theHarvester

theHarvester is another great alternative to fetch valuable information about any subdomain names, virtual hosts, open ports and email address of any company/website.

This is especially useful when you are in the first steps of a penetration test against your own local network, or against 3rd party authorized networks. Same as previous tools, theHarvester is included inside Kali Linux distro.

theHarvester uses many resources to fetch the data like PGP key servers, Bing, Baidu, Yahoo and Google search engine, and also social networks like Linkedin, Twitter and Google Plus.

It can also be used to launch active penetration test like DNS brute force based on dictionary attack, rDNS lookups and DNS TLD expansion using dictionary brute force enumeration.

11. Shodan

Shodan is a network security monitor and search engine focused on the deep web & the internet of things. It was created by John Matherly in 2009 to keep track of publicly accessible computers inside any network.

It is often called the 'search engine for hackers', as it lets you find and explore a different kind of devices connected to a network like servers, routers, webcams, and more.

Shodan is pretty much like Google, but instead of showing you fancy images and rich content / informative websites, it will show you things that are more related to the interest of IT security researchers like SSH, FTP, SNMP, Telnet, RTSP, IMAP and HTTP server banners and public information. Results will be shown ordered by country, operating system, network, and ports.

Shodan users are not only able to reach servers, webcams, and routers. It can be used to scan almost anything that is connected to the internet, including but not limited to traffic lights systems, home heating systems, water park control panels, water plants, nuclear power plants, and much more.

12. Jigsaw

Jigsaw is used to gather information about any company employees. This tool works perfectly for companies like Google, Linkedin, or Microsoft, where we can just pick up one of their domain names (like google.com), and then gather all their employee's emails on the different company departments.

The only drawback is that these queries are launched against Jigsaw database located at jigsaw.com, so, we depend entirely on what information they allow us to explore inside their database. You will be able to find information about big companies, but if you are exploring a not so famous startup then you may be out of luck.

13. SpiderFoot

SpiderFoot is one of the best reconnaissance tools out there if you want to automate OSINT and have fast results for reconnaissance, threat intelligence, and perimeter monitoring.This recon tool can help you to launch queries over 100 public data sources to gather intelligence on generic names, domain names, email addresses, and IP addresses.

Using Spiderfoot is pretty much easy, just specify the target, choose which modules you want to run, and Spiderfoot will do the hard job for you collecting all the intel data from the modules.

14. Creepy

Creepy is a geo-location OSINT tool for infosec professionals. It offers the ability to get full geolocation data from any individuals by querying social networking platforms like Twitter, Flickr, Facebook, etc.

If anyone uploads an image to any of these social networks with geolocation feature activated, then you will be able to see a full active mal where this person has been.

You will be able to filter based on exact locations, or even by date. After that, you can export the results in CSV or KML format.

Creepy

15. Nmap

Nmap is one of the most popular and widely used security auditing tools, its name means "Network Mapper". Is a free and open source utility utilized for security auditing and network exploration across local and remote hosts.

Some of the main features include:

Host detection: Nmap has the ability to identify hosts inside any network that have certain ports open, or that can send a response to ICMP and TCP packets.
IP and DNS information detection: including device type, Mac addresses and even reverse DNS names.
Port detection: Nmap can detect any port open on the target network, and let you know the possible running services on it.
OS detection: get full OS version detection and hardware specifications of any host connected.
Version detection: Nmap is also able to get application name and version number.

16. WebShag

WebShag is a great server auditing tool used to scan HTTP and HTTPS protocols. Same as other tools, it's part of Kali Linux and can help you a lot in your IT security research & penetration testing.

You will be able to launch a simple scan, or use advanced methods like through a proxy, or over HTTP authentication.

Written in Python, it can be one of your best allies while auditing systems.

Main features include:

PORT scan
URL scanning
File fuzzing
Website crawling

In order to avoid getting blocked by remote server security systems, it uses an intelligent IDS evasion system by launching random requests per HTTP proxy server, so you can keep auditing the server without being banned.

17. OpenVAS

OpenVAS (Open Vulnerability Assessment System) is a security framework that includes particular services and tools for infosec professionals.

This is an open source vulnerability scanner & security manager that was built after the famous Nessus switched from open source to private source. Then, the original developers of the Nessus vulnerability scanner decided to fork the original project and create OpenVAS.

While it is a little bit more difficult to setup than the old Nessus, it's quite effective while working with it to analyze the security of remote hosts.

The main tool included in OpenVAS is OpenVAS Scanner, a highly efficient agent that executes all the network vulnerability tests over the target machine.

On the other hand, another main component is called OpenVAS Manager, which is basically vulnerability management solution that allows you to store scanned data into an SQLite database, so then you can search, filter and order the scan results in a fancy and easy way.

18. Fierce

Fierce is an IP and DNS recon tool written in PERL, famous for helping IT sec professionals to find target IPs associated with domain names.

It was written originally by RSnake along with other members of the old http://ha.ckers.org/. It's used mostly targetting local and remote corporate networks.

Once you have defined your target network, it will launch several scans against the selected domains and then it will try to find misconfigured networks and vulnerable points that can later leak private and valuable data.

The results will be ready within a few minutes, a little bit more than when you perform any other scan with similar tools like Nessus, Nikto, Unicornscan, etc.

Fierce

19. Unicornscan

Unicornscan is one of the top intel gathering tools for security research. It has also a built-in correlation engine that aims to be efficient, flexible and scalable at the same time.

Main features include:

Full TCP/IP device/network scan.
Asynchronous stateless TCP scanning (including all TCP Flags variations).
Asynchronous TCP banner detection.
UDP Protocol scanning.
A/P OS identification.
Application and component detection.
Support for SQL Relational Output

20. Foca

FOCA (Fingerprinting Organizations with Collected Archives) is a tool written by ElevenPaths that can be used to scan, analyze, extract and classify information from remote web servers and their hidden information.

Foca has the ability to analyze and collect valuable data from MS Office suite, OpenOffice, PDF, as well as Adobe InDesign and SVG and GIF files. This security tool also works actively with Google, Bing and DuckDuckGo search engines to collect additional data from those files. Once you have the full file list, it starts extracting information to attempt to identify more valuable data from the files.

21. ZoomEye

In the cybersecurity world, we researchers are used to popular IoT search engines such as Shodan or Censys. For a while, however, a powerful new IoT search engine has been rapidly gaining followers. We're talking about ZoomEye.

ZoomEye is a Chinese IoT OSINT search engine that allows users to grab public data from exposed devices and web services. In order to build its database it uses Wmap and Xmap, and then runs extensive fingerprinting against all the information found, ultimately presenting it to users in a filtered and curated way for easy visualization.

What information can you find with ZoomEye?

IPs interacting with networks and hosts
Open ports on remote servers
Total number of hosted websites
Total number of devices found
Interactive map of users hitting different devices
Vulnerabilities report

And much more. The public version offers access to a lot of data—but if you want to see what it can really do, we suggest you sign up for a free account. That way you'll get to test the real power of this OSINT tool.

22. Spyse

Spyse is another OSINT search engine that lets anyone grab critical information about any website in the world. Quite simply, Spyse is an infosec crawler that gets useful information for red and blue teams during the reconnaissance process.

Its database is one of the biggest around. Spyse users can access a diverse range of data including:

IP addresses (3.6B IPv4 hosts)
DNS records (2.2B)
Domain names (1.2 B)
ASN (68K)
Vulnerabilities (141K)
Associated domains
SSL/TLS data (29M)

If you're looking for a centralized website that will help you get the most important OSINT on any target, then Spyse seems to be one of the top choices, according to many modern infosec teams.

23. IVRE

This infosec tool is frequently overlooked, but it has great potential in boosting your infosec discovery and analysis processes. IVRE is an open source tool that's built on a base of popular projects like Nmap, Masscan, ZDNS, and ZGrab2.

Its framework uses these popular tools to gather network intelligence on any host, then uses a MongoDB database to store the data.

Its web-based interface makes it easy for both beginning and advanced infosec users to perform the following actions:

Passive reconnaissance by flow analysis (from Zeek, Argus or nfdump)
Active reconnaissance by using Zmap and Nmap
Fingerprinting analysis
Import data from other 3rd party infosec apps, such as Masscan/Nmap

IVRE can be installed by fetching the source from their official Github repo, or from 3rd-party repositories such as Kali Linux repo.

24. Metagoofil

Metagoofil is another great intel-reconnaissance tool that aims to help infosec researchers, IT managers, and red teams to extract metadata from different types of files, such as:

doc
docx
pdf
xls
xlsx
ppt
pptx

How does it work? This app performs a deep search on search engines like Google, focusing on these types of files. Once it detects such a file, it will download it to your local storage, then proceed to extract all of its valuable data.

Once the extraction is complete, you'll see a full report with usernames, software banners, app versions, hostnames and more, a valuable resource for your recon phase.

Metagoofil also includes a number of options to help you filter the types of files to search for, refine the results and tweak the output, among many other useful features.

25. Exiftool

While a lot of OSINT tools focus on data found on public files such as PDF, .DOC, HTML, .SQL, etc., there are other tools that are specifically designed to extract critical Open Source Intelligence data from image, video and audio files.

Exiftool reads, writes and extracts metadata from the following types of files:

EXIF
IPTC
GPS
XMP
JFIF
And many others

It also supports native files from a wide range of cameras, such as: Canon, Casio, FujiFilm, Kodak, Sony, and many others. It's also conveniently available on multiple platforms including Linux, Windows and MacOS.

RREGARDS = @its_me_kali

BEST OSI SITE = intelx.io

Как укрепить «Веру». Делаем шифрованные контейнеры VeraCrypt неприступными

2021-07-04T13:30:38.771Z

Ты пользуешься VeraCrypt и всегда выбираешь самый надежный алгоритм шифрования и длинный пароль, надеясь, что так ты сделаешь контейнер неприступным? Эта статья перевернет твои представления о том, как работает безопасность криптоконтейнеров, и покажет, что на самом деле влияет на стойкость контейнера к взлому.

Как взламывает контейнеры VeraCrypt полиция

Эта статья не о том, как ломать криптоконтейнеры. Однако, если ты не знаешь, как станут действовать эксперты, пытающиеся получить доступ к зашифрованным данным, будет трудно понять смысл описанных действий.

Действия эксперта в лаборатории зависят от того, что именно и каким именно образом изъято при обыске.

Стандартные методы

Самый типичный случай — изъятие внешних накопителей целиком; компьютеры выключаются и также изымаются целиком, но в лабораторию к эксперту попадает не целый компьютер в сборе, а только извлеченные из него диски.

Подобный сценарий — тот самый случай, противостоять которому так долго готовились разработчики всех криптоконтейнеров без исключения. Лобовые атаки на криптоконтейнеры малоэффективны, а на некоторые их разновидности (в частности, загрузочные разделы, зашифрованные в режиме TPM или TPM + ключ) неэффективны абсолютно.

В типичном случае эксперт попытается сначала проанализировать файлы гибернации и подкачки. Если пользователь пренебрег настройками безопасности криптоконтейнера (кстати, при использовании BitLocker эти настройки далеко не очевидны), то ключи шифрования спокойно извлекаются из этих файлов, а зашифрованные тома расшифровываются без длительных атак. Разумеется, в ряде случаев эта атака не сработает. Она будет бесполезна, если выполнено хотя бы одно из описанных ниже условий.

Загрузочный диск зашифрован. В этом случае и файл подкачки, и файл гибернации будут также зашифрованы. Например, если для шифрования загрузочного раздела используется BitLocker (это имеет смысл, даже если остальные данные зашифрованы в контейнерах VeraCrypt), то Microsoft подробно описывает модель безопасности в FAQ и BitLocker Security FAQ (раздел What are the implications of using the sleep or hibernate power management options?). Кстати, из этого правила есть исключения — например, если файл подкачки вынесен на отдельное от загрузочного устройство (довольно распространенный случай для пользователей, которые таким образом «экономят» ресурс загрузочного SSD).

2. Компьютер был выключен штатным образом (через команду Shutdown) или был изъят в состоянии гибридного сна либо гибернации; при этом криптоконтейнер настроен таким образом, чтобы автоматически размонтировать зашифрованные тома и уничтожать ключи шифрования в оперативной памяти при переходе компьютера в сон, гибернацию или при его отключении.

Немного сложно для восприятия? Упрощу: если в момент изъятия зашифрованный том был смонтирован, а полиция просто выдернула вилку из розетки, то ключ шифрования, скорее всего, останется в файле гибернации (удастся ли его оттуда вытащить — зависит от пункта 1). А вот если компьютер выключили командой Shutdown, то наличие или отсутствие ключа будет зависеть от настроек криптоконтейнера. О том, как правильно настроить VeraCrypt, мы поговорим дальше.

3. Наконец, очевидное: анализ файлов подкачки и гибернации совершенно бесполезен, если в момент изъятия компьютера зашифрованный том не был подмонтирован.

Если извлечь ключи шифрования не удается, эксперт поищет их в облаке или корпоративной сети (для томов, зашифрованных штатными средствами BitLocker или FileVault 2). Только после этого в ход пойдет лобовая атака — перебор паролей.

С перебором паролей тоже непросто. Во-первых, давно прошли времена, когда под «лобовой атакой» понимался простой брутфорс. Скорость атаки будет такой, что полный перебор всего пространства паролей становится бесполезен, если длина пароля к криптоконтейнеру превышает 7–8 символов. Соответственно, для атак используются словари, в первую очередь — словари, составленные из паролей самого пользователя (извлечь их можно как из компьютера пользователя, так и из его мобильных устройств или напрямую из облака Google Account). Давно разработаны методы анализа паролей и составления правил-шаблонов, на основе которых будут генерироваться «похожие» пароли.

Для атаки в полиции будут использовать один из немногих пакетов программ, позволяющих запустить атаку на множестве (в теории — до нескольких тысяч, в реальности — порядка сотен) компьютеров, каждый из которых будет оснащен несколькими графическими ускорителями. Звучит неправдоподобно? Тем не менее во время тренингов для полиции в разных частях земного шара я видел помещения с компьютерами, использующимися для распределенных атак. Могу сказать о них следующее. Создателей фантастических фильмов в эти помещения, очевидно, не пускают, поэтому на экранах кинотеатров нам приходится наблюдать жалкие плоды убогой фантазии. Просто чтобы обозначить масштаб, поделюсь поразившим меня фактом: на рабочих столах полицейских экспертов одного британского захолустья стоят компьютеры с GeForce 2080 и 40 процессорными ядрами.

Для начала область перебора будет ограничена набором символов, которые встречаются в паролях пользователя.

Дальше опробуют атаку с мутациями (берется слово из словаря, и проверяются его варианты, составленные по довольно простым правилам, которыми пользуется подавляющее большинство обычных пользователей). Кстати, на мутациях чаще всего и заканчиваются попытки атак в тех случаях, когда у полиции нет зацепок — не удалось получить ни одного пароля пользователя.

Если это не сработает, в ход пойдут маски (попытки вручную сконструировать пароли, «похожие» на те, которые были найдены у пользователя).

В особо сложных случаях дело дойдет до гибридных атак (использование комбинаций из одного или двух словарей в комбинации со скриптованными правилами, масками и/или префиксами).

Нестандартные методы

Нестандартно действовать полиция начинает в редких случаях, когда у подозреваемого заранее предполагается наличие зашифрованных «цифровых улик». В этом случае вместе с оперативниками выезжают подготовленные эксперты, которые проконтролируют изъятие и попытаются исследовать включенные, работающие компьютеры прямо на месте. Эксперт попробует сделать следующее.

Получить доступ к рабочему столу компьютера. Здесь все понятно и известно.
Сделать дамп оперативной памяти компьютера. Это возможно, если удалось получить доступ к рабочему столу (кстати, в случае с многопользовательскими компьютерами для этого можно взять любую административную учетную запись), но не обязательно: например, заслуженной популярностью пользуется атака через DMA, которая обрела второе дыхание после выхода компьютеров с поддержкой технологии Thunderbolt через порт USB-C.
Наконец, в особо сложных случаях может использоваться криогенная атака. О ее редкости и экзотичности говорит тот факт, что за все время работы я не встретил ни одного эксперта, который делал бы такой анализ на практике.

На что влияет выбор алгоритма шифрования

Еще во времена TrueCrypt пользователям предлагался выбор из разных алгоритмов шифрования, в том числе несколько вариантов с последовательным шифрованием данных сначала одним, а потом другим алгоритмом. В VeraCrypt выбор существенно расширился. Теперь предлагается пять алгоритмов (AES, Serpent, Twofish, Camellia и «Кузнечик») и десять вариантов их последовательного использования.

Патриотам, желающим воспользоваться алгоритмом шифрования отечественной разработки «Кузнечик», рекомендую ознакомиться с информацией о странностях в таблицах перестановки, которые однозначно указывают на существование намеренно оставленного «черного хода».

Средний пользователь VeraCrypt не понимает, чем отличаются алгоритмы, не интересуется подробностями, но считает, что если выбрать цепочку из двух, а еще лучше трех алгоритмов, то он точно будет защищен и от закладок спецслужб, и от уязвимостей самих алгоритмов.

Правда же заключается в том, что достаточно будет использовать самый известный и простой с вычислительной точки зрения алгоритм. Тот самый AES, который используется всеми — от детей, скачивающих на телефон новую игру, до финансовых воротил и самых что ни на есть специальных спецслужб. За десятилетия повсеместного использования и массовых исследований этот алгоритм так и не взломали, секретных черных ходов не нашли.

На что же на самом деле влияет выбор алгоритма шифрования? Еще одна грустная правда: только и исключительно на скорость доступа к зашифрованным данным.

Шифрование алгоритмом AES использует встроенные в современные процессоры (начиная от самых дешевых ядер ARMv8 и заканчивая даже очень старыми процессорами Intel и AMD) команды для аппаратного ускорения шифрования. Другие алгоритмы тоже могут применять эти команды. Но AES пользуются все, а другими алгоритмами — не все, поэтому их оптимизация оставляет желать лучшего. Самый оптимизированный алгоритм шифрования Camellia уступает AES в скорости шифрования в полтора раза, Twofish уступает AES в три, Serpent — в четыре, а Кузнечик — в четыре с половиной раза. Комбинированные варианты работают еще медленнее, не предоставляя при этом никакой дополнительной безопасности.

Итак, выбор отличного от AES алгоритма шифрования не может улучшить безопасность зашифрованных данных, а вот ухудшить — запросто. А что может улучшить?

Выбор хеш-функции и числа итераций

Для того чтобы зашифровать (ну, и расшифровать тоже) любые данные, криптоконтейнер не использует пароль. Для шифрования любым алгоритмом (от AES до «Кузнечика») берется двоичный ключ фиксированной длины, так называемый Data Encryption Key или Media Encryption Key (MEK). Каким именно образом твой пароль (наверняка очень длинный и безопасный) превращается в MEK фиксированной длины? Откровенно говоря, никаким. Media Encryption Key для единожды созданного контейнера неизменен; он хранится в зашифрованном (точнее сказать, «обернутом», wrapped) виде прямо в составе контейнера, а в «развернутом» виде используется для доступа к данным.

Ключ шифрования данных MEK в обязательном порядке шифруется (прости за тавтологию) ключом шифрования ключа шифрования Key Encryption Key (KEK). Без KEK невозможно расшифровать MEK, а без MEK невозможно расшифровать данные. Для чего нужна такая сложная схема? Хотя бы для того, чтобы ты мог сменить пароль от криптоконтейнера без обязательной расшифровки и перешифровки всего содержимого. Однако роль пары ключей MEK/KEK этим сценарием не ограничивается. Так, достаточно будет затереть несколько десятков байтов в заголовке контейнера (перезаписав область, в которой хранится MEK), и контейнер никто и никогда больше расшифровать не сможет, даже если точно известен пароль. Возможность моментального и безвозвратного уничтожения данных — важная часть общей стратегии безопасности.

Итак, с парой ключей MEK/KEK разобрались. Каким образом из пароля получается ключ KEK? VeraCrypt проводит циклическую последовательность односторонних (это важно) математических преобразований — хеш-функций, причем количество циклов достаточно велико: по умолчанию преобразование выполняется 500 000 раз. Таким образом, с настройками «по умолчанию» на вычисление одного-единственного ключа KEK на основе введенного пароля VeraCrypt потратит от одной до пяти-шести секунд.

Здесь наступает важный момент. Помнишь, чуть выше я разобрал скорость работы алгоритмов шифрования и порекомендовал использовать AES как самый распространенный и самый быстрый вариант? Так вот, с выбором хеш-функции все обстоит с точностью до наоборот: тебе нужен самый нестандартный и самый медленный алгоритм.

В VeraCrypt доступен выбор из четырех хеш-функций: дефолтный SHA-512 (он достаточно медленный и достаточно безопасный, но дефолтный, что для нас минус), еще более медленный и тоже хорошо изученный Whirlpool, старенький SHA-256, который все еще безопасен, но смысла в использовании которого я не вижу, и «темная лошадка» «Стрибог», который в бенчмарке медленнее всех.

Впрочем, от использования хеш-функции «Стрибог» надежно отвращают слова из Википедии: «Разработан Центром защиты информации и специальной связи ФСБ России с участием ОАО „ИнфоТеКС“ на основе национального стандарта Российской Федерации ГОСТ Р 34.11—2012 и введен в действие с 1 июня 2019 года приказом Росстандарта № 1060-ст от 4 декабря 2018 года», а также некоторые тривиальные ошибки и найденные независимыми исследователями странности в таблицах перестановки.

Как правильно настроить преобразование пароля в ключ шифрования KEK? Вот три основных пункта.

Не используй выбор по умолчанию. Весь софт для взлома криптоконтейнеров без исключений настроен на атаки с настройками «по умолчанию». У эксперта будет выбор настроек (по умолчанию, выбрать конкретную комбинацию параметров или пробовать все комбинации). Атака «по умолчанию» будет самой быстрой, вариант «пробовать все комбинации» — катастрофически медленным, а попытаться выбрать правильную комбинацию параметров шифрования вручную — все равно, что вручную подбирать пароль.
Выбери самую медленную хеш-функцию (но не «Стрибог»). Да, с медленной хеш-функцией, да еще и отличной от «выбора по умолчанию», твой криптоконтейнер будет монтироваться не одну, а пять-шесть секунд — но и стойкость к атаке вырастет в те же пять-шесть раз (а с учетом «выбора не по умолчанию» — еще сильнее).
Измени число итераций. Об этом ниже.

Итак, с настройками по умолчанию разобрались, с выбором хеш-функции определились. Однако есть еще один важнейший параметр, скрывающийся за малозаметной галочкой Use PIM. Что за PIM такой и зачем он нужен?

PIM (Personal Iterations Multiplier) напрямую влияет на количество итераций, которые будут использованы для преобразования твоего пароля в ключ шифрования KEK. Согласно документации, VeraCrypt вычисляет количество итераций (число преобразований) по формуле 15 000 + (PIM*1000). Для хеш-функций SHA-512 и Whirlpool значение PIM по умолчанию 485, что дает нам ровно 500 000 итераций.

Для чего нужен этот параметр? Дело в том, что вычислительные мощности, в том числе и у тех, кто будет взламывать твой криптоконтейнер, постоянно растут. Защита, эффективная двадцать лет назад, сегодня уже не кажется такой непробиваемой. Однако в случае с VeraCrypt ты можешь легко и изящно повысить стойкость защиты сколь угодно сильно, просто увеличив число итераций. Да, увеличение числа итераций (через кастомное значение PIM) немного снизит удобство использования (при монтировании криптоконтейнера тебе придется, помимо пароля, вводить еще и число PIM), несколько замедлится скорость монтирования. Поверь, однако, что любое, самое незначительное изменение PIM означает сильнейшую головную боль у любого, кто вздумает подобрать пароль.

Насколько сильно изменение PIM повлияет на скорость монтирования криптоконтейнера? Вот время с настройками PIM по умолчанию.

А вот я изменил PIM на значение 500 (с дефолтных 485).

А тут я использовал PIM, равный 1000.

Цифры отнюдь не запредельные: подождать при монтировании зашифрованного тома лишние секунды несложно, а вот у того, кто будет пытаться подобрать пароль к тому, возникнет масса проблем. Общий алгоритм работы взломщиков будет выглядеть так.

Сначала попробуют все возможные атаки со стандартными настройками. Это — время, часто существенное.
Если понятно, что значение PIM нестандартное, а число PIM точно известно, атака будет вестись сразу с корректной настройкой. При этом увеличение PIM с 485 до 1000 увеличит время, необходимое для атаки, примерно вдвое. Так себе повышение безопасности, но лучше, чем ничего.
А вот если значение PIM атакующему неизвестно, то атаку придется проводить для всего ряда значений PIM. То есть если ты выставишь значение PIM = 1000, то КАЖДЫЙ вариант пароля атакующему придется проверять со значениями PIM = 1, 2, 3, …, 1000 (или 485, 486, 487, …, 1000, если атакующий убежден, что значение PIM ты не уменьшал, а исключительно увеличивал). Иными словами, сложность атаки возрастает кратно значению (твой PIM — 485), если атакующий использует только варианты, превышающие значение по умолчанию, либо в (твой PIM) раз, если атакующий решит перебирать всю область значений PIM.

Логичный вопрос: разве увеличение длины пароля на два-три знака из расширенного набора символов не даст схожий (и даже лучший) результат? Если подходить с чисто вычислительной точки зрения, то даст. Реальность же такова, что большая часть атак проводится с настройками по умолчанию; программы, способные использовать атаки с нестандартным значением PIM, можно пересчитать по пальцам одной руки, а программ, которые способны автоматизировать атаки с кастомным рядом значений PIM, и того меньше.

Рассмотрим скриншот свежей сборки Elcomsoft Distributed Password Recovery с поддержкой VeraCrypt (кстати, даже не вышедшей еще официально).

На нем мы видим атаку в стандартной конфигурации: алгоритм шифрования AES, хеш-функция — SHA-512. Никаких сюрпризов. Скорость атаки — 170 паролей в секунду (это с загрузкой всех ядер процессора и с использованием вычислительных ресурсов видеокарты; без видеокарты мы бы увидели скорость порядка 0,5 пароля в секунду).

Но если ты сменишь хеш-функцию, то такой атакой, как показана на первом скриншоте, пароль найти не получится. Соответственно, будет применяться вторая атака — уже по всему спектру алгоритмов шифрования и хеш-функций.

Что мы видим на втором скриншоте? Во-первых, скорость перебора резко упала до одного пароля в секунду — это с использованием GPU-ускорителя.

А чего мы не видим на втором скриншоте? Мы не видим возможности провести атаку на число итераций PIM. Число итераций PIM в большинстве программ для взлома паролей можно указать вручную. Таким образом, нестандартное число итераций сделает атаку неэффективной: даже если твой пароль — 123, найти его не получится, не указав точного числа итераций.

Разумеется, если есть проблема, для нее найдется и решение. В свежей бете небезызвестного инструмента hashcat заявлены два любопытных параметра: --veracrypt-pim-start и --veracrypt-pim-stop (commit с изменением). А что будет со скоростью перебора? Если неизвестны точные параметры шифрования (комбинация из алгоритма шифрования и хеш-функции), то скорость перебора уже достаточно низкая: всего один пароль в секунду на компьютере с аппаратным ускорителем GPU. А теперь подели эту цифру на количество возможных вариантов PIM, и получишь исключительно медленный перебор. В реальности же перебор будет еще медленнее: если с низкими значениями PIM проверка пароля займет доли секунды, то большое число итераций замедлит перебор в несколько раз по сравнению со стандартным значением.

Защита ключа шифрования

Итак, мы выбрали шифрование AES, хеш-функцию Whirlpool, а число итераций выставили скромненько 1111 (чтоб и нестандартно, и не забыть случайно). Это полностью защитит контейнер от атаки на пароль, но, как мы помним из начала статьи, полиция может вообще не устраивать такую атаку, если сможет просто вытащить ключ шифрования из твоего компьютера.

Взять готовый ключ шифрования и с его помощью смонтировать (или расшифровать целиком) зашифрованный раздел — любимый и самый быстрый способ, которым пользуется полиция. Суть его заключается в следующем.

Как ты знаешь, для того чтобы зашифровать (и расшифровать) данные, криптоконтейнер не использует пароль. Для шифрования любым алгоритмом (от AES до «Кузнечика») используется двоичный ключ фиксированной длины, так называемый Data Encryption Key или Media Encryption Key (MEK). Ты уже в курсе, каким сложным образом твой пароль (наверняка очень длинный и безопасный) превращается в ключ фиксированной длины. Дело сейчас не в этом.

Логично, что ключ шифрования данных (MEK) хранится в оперативной памяти компьютера. Это необходимо для того, чтобы программа-криптоконтейнер могла получить доступ к зашифрованным данным в принципе. Обрати внимание: ключ шифрования хранится в оперативной памяти совершенно независимо от того, какой алгоритм шифрования ты выбрал в настройках контейнера. AES, Twofish, Serpent, «Кузнечик» или любая комбинация алгоритмов — независимо от твоего выбора ключи шифрования будут храниться в оперативной памяти, а сложность и скорость их извлечения практически одинакова.

Таким образом, сложность этой атаки мало зависит как от выбора алгоритма шифрования, так и от способа преобразования твоего пароля в двоичный ключ. Максимум, чего удастся добиться нестандартными настройками, — это увеличение времени поиска ключа в образе оперативной памяти, условно говоря, с десяти-пятнадцати минут до полутора-двух часов (цифры условные: многое зависит как от объема оперативной памяти компьютера, с которого делался дамп, так и от скорости накопителя и центрального процессора, где этот дамп анализируется).

Можно ли защититься от подобных атак? Полноценная защита от извлечения ключей шифрования из оперативной памяти компьютера достаточно сложна, а на обычном десктопе может и вовсе оказаться невозможной (противостоять криогенной атаке вообще достаточно тяжело, но и вероятность ее применения исчезающе мала). В то же время ты можешь включить в настройках VeraCrypt недавно появившуюся возможность шифрования ключей шифрования в оперативной памяти компьютера.

Обрати внимание: настройка доступна начиная с VeraCrypt 1.24 (на момент написания статьи актуальна сборка 1.24 Update 4). По умолчанию опция выключена; если ее включить, использование оперативной памяти драйвером увеличится примерно на 10%, производительность упадет на 5–15% (источник), а также будет отключена возможность гибернации.

Но это только часть защиты. В файл подкачки или файл гибернации также могут попасть и сами данные, которые хранятся в зашифрованном контейнере, а встроенная в VeraCrypt функция отключения гибернации может не сработать. По-хорошему также необходимо отключить ее на уровне Windows. Опции Hybrid sleep и, собственно, Hibernation.

Обрати также внимание на режим «быстрой загрузки» (Fast Startup) на первом скриншоте. В этом режиме (по умолчанию он, кстати, включен) при выключении компьютера Windows сохраняет состояние ядра в файл на системном диске. Этот файл — в некотором роде урезанный (без user space) аналог файла гибернации. Его наличие позволяет ускорить процесс последующей загрузки, но оно же приводит к возможности утечки ключа шифрования томов VeraCrypt. Отключение режима Fast Startup поможет защититься от этой уязвимости.

Если же жертвовать режимом гибернации не хочется, то стоит подумать о шифровании системного диска с помощью того же BitLocker’а. В этом случае и файл подкачки, и файл гибернации будут надежно защищены.

Облако и ключи восстановления доступа

Для VeraCrypt этот момент не критичен, но BitLocker по умолчанию предлагает пользователю сохранить ключ восстановления доступа к зашифрованному диску в облако OneDrive. Если его удастся оттуда извлечь (а полиции обычно удается, достаточно сделать запрос в Microsoft), то расшифровка данных становится тривиальной. Атака сработает и в том случае, если ты сохранишь подобный ключ на USB-накопителе, доступ к которому получит полицейский эксперт или злоумышленник. Иными словами, ключи восстановления доступа — палка о двух концах, и с точки зрения чистой безопасности лучше их не иметь, чем иметь.

Заключение

Надеюсь, я смог изменить твои представления о безопасности криптоконтейнеров в целом и VeraCrypt в частности. Вооружившись новыми знаниями, ты сможешь создавать зашифрованные контейнеры, обладающие на несколько порядков более высокой стойкостью к парольным атакам. Кроме того, использование недавно появившихся малоизвестных настроек безопасности позволит тебе защититься и от излюбленных атак на оперативную память, файлы подкачки и гибернации. В то же время разработчики VeraCrypt не гарантируют безопасность любых данных, попадающих в оперативную память компьютера, так что речь идет скорее не о стопроцентной защите, а о существенном осложнении соответствующих атак с не менее существенным снижением их эффективности и вероятности успешно вскрыть зашифрованный том.

Источник

Боевой OSINT s01e01 - OSINT & RDP

2021-06-28T11:03:43.537Z

Специально для каналов Cybred и Inside

Это первая часть цикла туториалов по боевому OSINT'у, которая охватывает подготовку (техническую и интеллектуальную) и рассказывает как настроить мониторинг уязвимости Bluekeep в больницах с использованием баз данных Shodan и Elasticsearch.

Вступление

Эти учебные пособия дадут вам представление о методах OSINT, используемых киберпреступниками для поиска различных организаций и людей с целью мошенничества и взлома. Это не очередная статья, ведущая на другой сайт с кучей ссылок и описанием того, что они делают, а скорее технические сведения для профессиональных аналитиков безопасности, обладающих хотя бы некоторыми навыками программирования и аналитическим складом ума. Я хотел бы показать каждую область OSINT - социальные сети, Dark Web, утечки, промышленный / корпоративный шпионаж и тому подобное.

Первая статья серии посвящена правильной подготовке, то есть настройке среды, комбинированию нескольких инструментов и установке базы данных. Каждая представленная методика будет поддерживаться исследованиями, и в этой части мы рассмотрим открытые протоколы удаленных рабочих столов с уязвимостью Bluekeep и акцентом на медицинские и финансовые учреждения.

В дополнение к статье я покажу некоторые приемы OSINT & RDP, чтобы найти машины для конкретных шпионских целей, используя Credential Stuffing и обратный поиск по изображениям, так что давайте начнем.

Подготовка

Я чувствую, что о психологической подготовке к OSINT-расследованиям и о том, что вы должны иметь аналитический ум, уметь документировать сведения и строить отношения между ними, уже все было сказано. Конечно, каждое задание в ходе его решения требует своего рода разного мышления, но в момент планирования мы каждый раз должны использовать какой - то общий подход. Лично для меня лучше всего подходит нисходящий подход - исходя из общей идеи, разделить основную цель на более мелкие задачи и сосредоточиться на деталях в конце.

В нашем случае основная цель состоит в том, чтобы найти уязвимые RDP службы в медицинских / финансовых учреждениях, которые могут содержать конфиденциальную информацию, не найденную никем ранее. Чтобы достичь этой цели, нам нужно разбить ее на более мелкие задачи:

Получить информацию об открытых RDP
Сохранить эту информацию
Периодически проверять наличие свежей информации
Сравнивать полученные данные с уже имеющимися

Вычленение небольших задач позволяет выбрать конкретные технологии для исследования, а также источники данных. Сейчас мы можем подумать о технических аспектах, таких как тип базы данных (облачная / локальная), язык программирования (включая IDE), сервисы и предпочитаемая операционная система. Давайте трансформируем наши цели в технические требования:

Использовать Python и Shodan API для загрузки информации о незащищенных RDP
Установить Elasticsearch для хранения данных
Использовать Cron для выполнения задач по расписанию
Опять же, использовать Python для сравнения новых результатов с уже имеющимися в базе данных

Конечно, есть нечто большее, следующий шаг - определить лучший запрос в Shodan, определить идеальное время проверки и настроить Elasticsearch. Это всего лишь пример, но я использовал этот подход много раз во время исследований или разработки инструментов, и он меня ни разу не подвел.

Мы все разобрали и теперь можем перейти к техническому аспекту.

Техническая подготовка

Эта часть требует базовых навыков работы с терминалом Linux и Python, но если вы их не имеете, не спешите закрывать статью - я все прокомментирую. Давайте начнем с настройки собственной базы данных.

Elasticsearch - это инструмент с открытым исходным кодом для поиска и анализа различных типов данных, включая текстовые, числовые, геопространственные, структурированные и неструктурированные.

Документация делает процесс установки очень простым; сначала нам нужно скачать и установить публичный ключ репозитория

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Установить https-transport:

sudo apt-get install apt-transport-https

Создать файл с информацией о репозитории:

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

Обновить кэш и устанавить ElasticSearch:

sudo apt-get update && sudo apt-get install elasticsearch

Запустить немедленно Unit elasticsearch.service:

sudo systemctl enable elasticsearch.service –now

Для проверки работоспособности открыть:

http://localhost:9200

Конфигурацию и дальнейший менеджмент вы можете найти здесь.

Python является одним из лучших языков программирования для решения такого рода задач-сценариев, и хорошая IDE может ускорить весь процесс разработки, сделав нашу жизнь намного проще. Я не хочу сказать, что люди пишущие в блокноте неэффективны, но IDE помогает свободно перемещаться по коду и быстро управлять репозиторием. Моя любимая IDE - Pycharm, она создает отдельную виртуальную среду для каждого проекта, поддерживает кастомизацию, несколько терминалов, локальную историю и множество других функций.

Что вы должны знать об этой IDE, так это горячие клавиши. Иногда, когда я работаю с Pycharm, я часами не касаюсь своей мыши - хоткеи ускоряют работу и делает работу чрезвычайно простой. Вот парочка наиболее полезных

2x shift – быстрый поиск по всему проекту
Ctrl + / - закомментировать/раскомментировать текущую строку
Ctrl + Shift + / - закомментировать/раскомментировать выделенный код
Shift + f10 – выполнить код
Shift + f9 – режим отладки
Ctrl + r – замена в тексте
Ctrl + h – история
Alt + f12 – открыть терминал

Вы можете найти их все на сайте Jetbrains.

OSINT & Bluekeep

Импортируем необходимые пакеты в наш проект

from elasticsearch import Elasticsearch
import requests
import json
import email.message
import smtplib

Создадим индекс под названием rdp-monitoring, где мы будем хранить все данные.

es.indices.create(index='rdp-monitoring', ignore=400)

Теперь можно перейти к получению машин с открытым RDP в Shodan.

Несколько переменных, которые мы должны определить

SHODAN_API_KEY = ""
query = "port:3389 org:hospital"
endpoint = "https://api.shodan.io/shodan/host/search?key="+SHODAN_API_KEY+"&query="+query+"&page="
cve = "CVE-2019-0708"
fresh = []

Fresh - это пустой список, который будет содержать новые (свежие) IP-адреса.

И код для извлечения хостов, уязвимых для Bluekeep

try:
    shodan_request = requests.get(endpoint)
    shodan_json = json.loads(shodan_request.text)
    for result in shodan_json['matches']:
        if not exists(result['ip_str']):
            check_each_host = requests.get("https://api.shodan.io/shodan/host/" + result['ip_str'] + "?key=" + SHODAN_API_KEY)
            check_each_host_json = json.loads(check_each_host.content)
            if 'vulns' in check_each_host_json:
                if cve in check_each_host_json['vulns']:
                    fresh.append(result['ip_str'])
                    print("New IP:" + result['ip_str'])
                    es.index(index="rdp-monitoring", id=check_each_host_json['ip_str'], body={"organization": check_each_host_json['org']})
        else:
            print("IP exists")

    if fresh:
        send_notification(fresh)

except Exception as e:
    print(e)

Он отправляет API-запрос в Shodan с текстом «port: 3389 org: hospital» (я не нашел дорки для Bluekeep), перебирает результаты в цикле, а затем делает еще один запрос для проверки каждого хоста на наличие CVE-2019-0708. Shodan не всегда возвращает vulns в общих результатах поиска, поэтому мы должны проверять каждый IP отдельно (check_each_host).

После этого мы проверяем, есть ли какие-либо уязвимости, если да - то содержит ли полученный список наш CVE-2019-0708. Содержит - добавляем его в Elasticsearch.

es.index(index="rdp-monitoring", id=check_each_host_json['ip_str'], body={"organization": check_each_host_json['org']})

Я использую IP-адрес в качестве поля идентификатора для упрощения поиска без использования фильтрации источников.

Скрипт проверяет только первую страницу, на которой около 70 результатов, - вы можете дописать код использующий пагинацию для получения дополнительных результатов.

Итак, мы сохранили IP-адреса и связанные с ними организации в Elasticsearch, но если скрипт будет запущен в следующий раз, он будет должен распознать, какие записи еще не находятся в базе данных. Для этого мы можем написать дополнительную функцию «exists»

def exists(ip):
    try:
        es.get(index='rdp-monitoring', id=ip)
        return True
    except:
     return False

Он просто пытается получить документ на основе индекса и идентификатора, который в нашем случае является IP-адресом. Если запись не существует, происходит ошибка, которую мы обрабатываем и возвращаем False.

Последняя часть состоит в том, чтобы всегда быть в курсе событий и получать сообщения на почту каждый раз, когда скрипт находит новые машины. Для этого нам нужно написать еще одну функцию, которая использует учетную будет использовать учетную запись Gmail и отправлять сообщения

def send_notification(ips):
    body = "<h1>New IPs in hospitals with Bluekeep</h1><br>"
    ips_text = ""
    for ip in ips:
        ips_text = ips_text + "https://beta.shodan.io/host/" + ip + "<br>"
    
    msg = email.message.Message()
    msg['Subject'] = 'RDP Monitoring'
    msg['From'] = "@gmail.com"
    msg['To'] = "@gmail.com"
    msg.add_header('Content-Type', 'text/html')
    msg.set_payload(body + ips_text)
    gmail_user = "@gmail.com"
    gmail_password = ""        
        
        
    try:
        server = smtplib.SMTP_SSL('smtp.gmail.com', 465)
        server.ehlo()
        server.login(gmail_user, gmail_password)
        server.sendmail(msg['From'], [msg['To']], msg.as_string())
        server.close()
        print('Email sent!')
        except Exception as e:
        print(e)
        print('Something went wrong...')
    pass

Это самый простой код, найденный где-то в сети и модифицированный для поддержки text/html контента. По сути, мы просто создаем информационный текст с нашими свежими IP-адресами (сохраненными в новом списке) и отправляем его на заданный адрес электронной почты. Чтобы скрипт корректно работал, вы также должны ввести свой адрес электронной почты и пароль в коде, а также войти в свою учетную запись Gmail в браузере с того же компьютера.

После его запуска, новые записи появятся в Elasticsearch

Вы можете добавить скрипт в Cron или скомбинировать его с другим инструментами в вашем арсенале.

Не только больницы являются интересной целью, запрос «port: 3389 org: bank» вернет вам все машины с открытым RDP в финансовых учреждениях, в названиях которых фигурирует слово «bank». Если пойти еще дальше, то использование свободного текстового поиска и таких слов, как «scada», покажет потенциальные системы промышленного контроля, компрометация которых бесценна.

Credential stuffing & RDP

Единожды скомпрометировав учетные данные пользователя на одном сайте, Credential stuffing предполагает доступ к прочим сервисам, на которых была зарегистрирована жертва, под теми же данными. В большинстве случаев после создания дампа, киберпреступники проверяют пары имя_пользователя/почта:пароль на других популярных платформах, таких как Facebook, Spotify, Netflix и т. д. Это тема была предметом моего исследования в прошлом году, вы можете прочитать больше тут.

Протокол для подключения к удаленному рабочему столу не является исключением, - если пользователь везде использует один и тот же пароль, он должен знать, что единоразовый слив его учетных данных на одном сайте, может привести к компрометации даже его личного ПК. Shodan использует OCR (оптическое распознавание символов) для извлечения текста из изображений и в некоторых случаях распознанный текст с экрана входа включает имена пользователей и версию Windows.

Когда вы ищете RDP для конкретной компании, не забывайте использовать метод свободного текстового поиска, - компьютер может находиться в облаке и отображать имя организации в поле имени пользователя или в предупреждении о безопасности.

APT используют две тактики для получения доступа к сети - концентрация на персонале без технических знаний и знаний в области безопасности (HR'ы, например), выполнение скрытой вредоносной нагрузки без обнаружения и, в самом конце, повышение привилегий.

Ориентация на высокопоставленных лиц (CEO, CISO, старшее руководство) для почти что автоматического получения доступа к конфиденциальным данным зависит от полномочий жертв. Часто киберпреступники отправляют фишинговые электронные письма высшему руководству, например старшим аналитикам и инженерам, которые работают в критических отраслях - в медицине, правительстве, образовании.

HaveIBeenPwned & RDP

Чтобы убедиться в том, стоит ли взламывать какой-либо RDP, основываясь на открытом имени пользователя, нам нужно задействовать OSINT и навыки работы с электронной почтой.

Во-первых, давайте найдем RDP с электронной почтой, используемой в качестве логина для входа в учетную запись. Для этого можно использовать запрос „port:3389 has_screenshot:true 'gmail'”, изменяя gmail на любого другого провайдера электронной почты или компанию. К сожалению, по неизвестным мне причинам, Shodan не может использовать поиск с символом «@», который бы точно указывал на то, что мы ищем именно электронную почту.

Следующий код извлекает адреса электронной почты Gmail из открытых RDP

query = "port:3389 has_screenshot:true gmail"
endpoint = "https://api.shodan.io/shodan/host/search?key="+SHODAN_API_KEY+"&query="+query+"&page="

req = requests.get(endpoint)
req_json = json.loads(req.text)

for match in req_json['matches']:
    text = match['opts']['screenshot']['text'].split("\n")
    for line in text:
        if "@" in line:
            print(line)

Быстрый поиск одного из адресов электронной почты (полученных при выполнении того кода, что я указал выше), показывает нам, что он был скомпрометирован в 7 различных утечках.

Это много, и даже если пароль на каждом сайте уникален, при этом он не был сгенерирован случайным образом, можно найти схему, по которой владелец учетки придумывает пароли на каждый сайт, и угадать его пароль от RDP.

Но стоит ли эксплуатировать эту машину для получения конфиденциальных данных? Нам нужно выяснить, кто является владельцем адреса электронной почты. Быстрый поиск в Google показывает, что это [УДАЛЕНО] инженер, окончивший [УДАЛЕНО].

Это один из способов, как вы можете найти владельца или данные от его учетной записи от RDP, он не автоматизирован и завязан на ручном поиске по нескольким причинам - OCR не всегда все корректно распознает и иногда содержит странные символы, электронная почта может включать «...» вместо домена верхнего уровня, потому что RDP предпочитает не показывать полное имя пользователя, если оно неактивно. В конце концов, результаты должны быть проверены вручную, чтобы определить конечные цели.

Reverse Image search & RDP

Это также необычная техника, о которой я никогда не слышал, - она непременно утомительна, но может окупиться, подтвердив окончательные сомнения. Если на машине не обнаружен какой-либо адрес электронной почты и она не связана с какой-либо организацией, изображение профиля пользователя может помочь вам определить владельца машины и потенциальную ценность с точки зрения наличия секретных документов.

Нам нужно вырезать изображение профиля из скриншота с RDP и попытаться его найти на одном из сервисов обратного поиска по изображениям.

В данном случае мне пришлось проверить фотография сразу на нескольких сервисах для получения нужных результатов. Люди, как и пароли, часто используют одну и ту же свою фотографию на разных сайтах, в особенности на LinkedIn.

Имена пользователей RDP в формате имени и фамилии легче исследовать, - вы должны искать учетные записи в социальных сетях и упоминания в Интернете искомого человека, однако они не всегда уникальны, поэтому такой поиск лучше комбинировать с поиском по изображению. В моем случае, изображения были повторно использованы во многих социальных сетях, поэтому было легко определить, кто является старшим владельцем продукта и генеральным директором финансовой компании.

Заключение

OSINT широко используется не только правоохранительными органами и исследователями, но и киберпреступниками. Под киберпреступниками я подразумеваю актеров, которые нацелены на конкретных людей и компании, чтобы получить как можно большую прибыль - конфиденциальные документы, данные клиентов, интеллектуальную собственность или просто деньги. Зная их методы, вы можете защитить себя и не стать легкой мишенью.

Для исследователей мониторинг незащищенных машин Bluekeep позволяет взглянуть на потенциальные компании, которые в скором времени скопроментируют и предсказать новостные заголовки.

Предоставляя учебные пособия и делясь знаниями, я надеюсь частично покрыть свои медицинские счета. Если вам нравится моя работа и вы используете мои инструменты, пожалуйста, помогите мне, сделав пожертвование на Paypal.

Прочитать оригинал этого материала на английском можно здесь.