OSINT 위협 정보 수집

1. 휴민트 지능정보(HUMINT)

---

1) 휴민트 지능정보(Human Intelligence) 개요

① 정보기관 및 기업 인적정보, 협력사 등 Supply Chain 대상 인적 정보 수집

• 기업 고위 임원(Clevel) 신상정보, 공무원, 국가기관 연구원 등

② 사이버 보안, 범죄자 정보 수집

• APT 해킹그룹, 해킹 공격 타겟대상 고위 임원, 각종 범죄관련 인적정보

③ 주요 수집 경로

• Linkedln : Email 주소, 이름, 소속회사, 프로젝트 수행 등
• facebook : Real Name, 소속회사, 주변 친구 및 지인 정보 수집
• Google / Bing : 검색을 통해 특정 회사 정보 수집
  • 제안서 같은 거를 통해서 어떤 서버를 쓰는지 알 수 있음
  • 메뉴얼을 알 수 있음, 이 말은 메뉴얼을 통해 서버에 접속하는 방법 및 기본 패스워드 같은 것을 알 수 있음
• 온라인 인명사전 검색엔진

 

2) 폭로 사이트 위키리스크를 통한 수집

• 위키리크스(WikiLeaks) 및 해외 폭로사이트에서 다양한 휴민트 정보수집
• 위키리크스에 각종 해킹 툴 이런게 많이 유출되었음

WikiLeaks

 

3) SNS을 활용한 정보 수집

• 링크드인에서 특정 회사 및 사람에 대한 정보 수집
• 트위터 특정 계정 사용자 및 인스타그램 프로파일 정보
  • 누가 좋아요를 눌렀는지 팔로우 했는지 확인해봐야한다. 즉, 친분관계를 나타내기 때문이다.
• 정부기관 홈페이지에서 담당 공무원 조회 검색
• 해외 OSINT 전문 블로그 사이트블로그 사이트

 

2. 측정 지능정보(MASINT)

---

1) 측정 지능정보(Measurement & Signature Intelligence)

→ 항공기 추적 사이트

실시간 항공편 추적기 - FlightAware

• 항공기에는 ADS-B라는 수신기(?)가 있음, ADS-B를 통해 다른 항공기나 관제탑에 broadcast(방송)하는데 전송되는 데이터에는 항공기 식별 코드, 위치, 속도, 방향 등이 존재한다.
• 콜사인(call sign)이나 항공기 식별 코드를 위 사이트에 넣으면 추적할 수 있음

 

3. 위치 지능정보(GEOINT)

---

• 트위터를 통해서 위치 정보를 수집할 수 있음
  • SNS에 사용되는 앱에다가 이미지 업로드 시 GeoTag 기능이 악용되면 위치정보를 추적당할 수 있음

+) 예전에 사진에 메타 데이터가 있어서 그거 긁어올 수 있는데 요새는 네이버 이런데 다 올려놔도 메타데이터 싹 다 지워서 활용 못함

 

 

4. Cyber Leak 위협 정보

---

1) SSO(Single Sign On)

• 구글 회사 SSO 로그인 페이지 → 내부망 접근 SSO 로그인 페이지 유출

2) Credential Leak

• 민감한 정보 유출 모니터링 → 구글, Shodan, Censys 등 활용
  • Credential 관련 키워드(xml 설정파일, 대시보드, Devices)
  • 쇼단이나 센시스에다가 대쉬보드 검색해보면은 많이 나옴나옴

3) OAuth 인증정보

• Github 소스코드 저장소에서 Oauth 인증정보
  • OAuth 인증 시 Access ID / SecureAccess Key 정보노출
  • 콜백에서 액세스 키 노출되어 있음서 액세스 키 노출되어 있음

4) 데이터 센터, 전산실

• 데이터 센터 대상의 위협정보 수집 - 물리적 시설관리 시스템
  • 공조시스템(HVAC), Rack 마운트, UPS 설비 등 위협정보

5) 가상화 시스템

• 가상화 시스템 관리자 로그인 접근
  • VMware의 vCloud 인프라(vCenter) 관리자 로그인 페이지 정보수집
  • 요새 이슈가 되는게 VMware와 VPN, 쇼단이나 센시스에 검색해보면 한국에서만 330만개 나옴
  • 펄스 시큐어 VPN 취약점 공격(CVE-2019-11510)으로 유출된 패스워드 정보

6) 클라우드 위협 정보

• AWS, Azure 클라우드에서 민감한 사이버 위협정보 노출
  • 클라우드는 보통 관리자 실수이다.
  • 자동 업로드 쉽게 하려고 만든 dynamoDB 찾아보면 키 값이랑 등등 접속에 필요한 정보 나와있음
  • 실제로 트렐로는 구글에 치면 쉽게 나오는데 트렐로에다가 키 값 박아놔서 유출됨

7) 기타 솔루션 장비

• 임베디드 보안 장비의 환경설정 파일 정보 노출
  • Cisco UCSM KVM XML 설정파일 정보 노출(JNLP 파일 다운로드)
• Anti-Virus McAfee Agent 로그 정보 노출 사례

 

5. Supply Chain 위협 정보

---

1) 개인정보 및 금융정보 노출 

• 익명 사이트에 190만 명의 상하이 중국 공산당원(CCP) 개인정보 파일 유출 -> 중국 공산당원 명부
  • intelx.io사이트는 전 세계에 정보가 노출된 거를 보여주는 사이트

Intelligence X

 

• 구글 검색에서 결제 로그 파일과 민감한 개인정보 위협 정보 노출
  • 결제용 페이 로그 파일 및 고객 개인정보 노출
  • 키워드는 inipay

 

2) Access Token 인증정보

• SNS상에서 민감한 인증 토큰 정보가 노출

 

3) 오픈소스 위협 정보 - 포테이너(Potainer)

• Microsoft Visual Studio의 포테이너 CI에 접근

 

6. 다크 웹 & 해킹포럼 사이트 위협 정보

---

• 다크웹 정보 검색 사이트 모니터링
  • 랜섬웨어 운영자 다크웹 사이트 정보 수집 사례
  • → Rapidforum
• 랜섬웨어 사이트 정보 수집

+) 토르브라우저 안써도 onion프록시 사용해서 들어갈 수 있음

+) 끝에 "onion.ws" 붙여서 들어가지면은 프록시가 있는 거

+) OSINT를 수행하면서 힘든게 페이크 정보를 올려둔거일 수 도 있음, 그래서 페이크인지 유출된 정보인지 확인하기 위해서는 여러가지 OSINT정보를 통해서 교차 검증을 해야한다.