tmxklab

OSINT 정보 수집 도구 본문

Security/08 Threat Hunting

OSINT 정보 수집 도구

tmxk4221 2021. 7. 23. 15:28

 

1. 검색엔진을 활용한 위협정보 수집

1) 검색엔진 정보수집 활용

① Google/Bing 검색엔진을 활용한 수집

  • 특정 키워드(제품명, 모델명, 회사/부서명, 업무명, 파일명, URL 경로)를 이용하여 검색
  • 참고로 Google과 Bing을 동시에 활용해야 한다. 왜냐하면 Google에서는 안나오는 것이 Bing에서 나올 수도 있기 때문이다.

② 트위터 해시태그(#)을 활용한 정보수집

  • 트위터 검색창에서 해시태그 검색
  • 사용빈도가 높은 키워드
    • #0day #RCE #CyberSecurity #Exploit #CyberBreach #Leaked
    • DataBreach, CyberBreach 이런식으로 "Breach"라는 것을 붙이면 유출된 정보들을 확인할 수 있음
    • 특히, 업무 중에서 악성코드를 분석하는 사람들은 샘플이 있으면 분석하기 쉬운데 샘플이 없으면 any.run에서 얘네들이 이미 분석해놓은 것들이 있음 → "site:any.run ioc" 요런식으로

③ 온라인 분석 및 모니터링 사이트를 활용한 정보 검

  • 온라인 정보분석 사이트 모니터링을 통해 사이버 위협 정보 수집

 

2) 구글검색 정보 수집

① JSP 소스코드 노출 정보 수집

  • 검색어 : site:co.kr | site:go.kr | site:or.kr <%@ page contentType="text/html"
  • 추가 설명 : jsp는 원래 서버쪽에서 실행되는 거라 노출되면 안됨, jsp가 노출되어있는지 확인하기 위해 소스보기에서 html헤더 부분 위에 공백이 많이 있으면 그 부분에 jsp가 있는 것을 유추할 수 있음(이미 실행되어서 안보이는 거임)

② 소셜 네트워크 인증 정보 노출

  • 검색어 : Intitle:insert title [here] (Callback 정보)
  • ex) Intitle:insert title site:co.kr

③ 네이버 소셜인증 정보 - Client ID / Client_Secret 정보노출

  • 검색어 : "naver_client_id | naver_secret" (Callback 정보)
  • ex) "naver_client_id | naver_secret" site:co.kr

④ 파일 업로드 Callback 정보

  • 검색어 : intitle: FileUploader Callback [here]
  • ex) intitle:FileUploader Callback site:co.kr

⑤ 개인정보 노출 정보 - '보배드림' 개인정보 노출

  • 검색어 : site: bobaedream.co.kr inurl:"price"
  • price위치에 다른 키워드를 넣을 수 있음

⑥ 익명사이트(Pastebin)정보수집

  • 검색어 예시 : site:pastebin.com "co.kr" [ ?? ]
  • 익명 정보 사이트 모니터링을 통해 UserID와 패스워드가 유출된 정보를 찾음
  • Pastebin 익명사이트에 해킹된 패스워드, 개인정보 유출

⑦ Zoom 화상회의 시스템

  • 검색어 예시 : inurl:zoom.us/j intext:pwd
  • 구글 검색에서 Zoom 화상 회의 초대 URL 정보 검색 가능

⑧ Firebase 시스템

  • 검색어 : site:firebaseio.com "키워드"
  • ex) site:firebaseio.com androidchatapp
  • 구글에서 파이어베이스 검색하면 안나옴, 하지만 Bing에서 쓰면은 나옴
  • Firebase의 결정적인 문제가 db랑 연동되었기 때문에 유출 가능함

⑨ 원격 접속지원 시스템

  • remote* 키워드로 사이트 검색 가능
  • 검색어 예시 : site:remote.*.co.kr "Remote Support Sevices"

⑩ 구글 스토리지 정보 검색

  • 검색어 : site:*.googleapis.com -storage 업무

⑪ 랜섬웨어 다크웹 사이트 정보 - CL0p, Maze

  • 클롭 맬웨어를 어떻게 찾았냐면 멀웨어 만드는 사람들은 자신들만의 시그니쳐를 만든다.(CLOP^_-) 그래서 요거를 통해 구글에서 검색해서 찾음
  • ex) intitle:"CLOP^_-LEAKS"

⑫ 산업제어 시스템

  • SCADA 디바이스 장비 - 지멘스 PLC 장비 정보
  • 검색어 : inurl:/"Portal/Portal.mwsl"(지멘스 SCADA S7 Station PLC)
  • ex) inurl:/"Portal/Portal.mwsl" "S7-*"

⑬ Github, Gitlab

  • 주요 키워드 : Jira github gitlab git issue tracker 빌드 시스템(Maven, Ant) 등
  • ex) site:github.com + "master" "commit"

⑭ JIRA

  • 검색어 : inurl:jira AND intitle:login site:co.kr -confluence

⑮ 협업 및 학술 논문

  • 검색어 : site:trello.com "키워드"
  • 추가적으로 트렐로로 찾으면 진짜 많이 나옴(로그인 필요없이 정보 확인 가능)
  • 하지만 단점은 어디 회사에서 쓴건지는 잘 모름, 그래서 그 안에 내용들을 추려내서 유추해야함

 

2. Shodan 사이버 정보수집 도구

홈페이지)

 

Shodan

Search engine of Internet-connected devices. Create a free account to get started.

www.shodan.io

1) 쇼단

  • 쇼단은 포트스캔 기반
  • 기본 무료 계정은 조회 결과 수가 제한되며 많은 결과를 보려면 유료 결제해야함(Censys는 무료)
  • 쇼단은 직관적이긴한데 결과가 너무 잘 안나옴(키워드가 잘 맞지 않으면) 그래서 센시스를 사용함 결과가 너무 잘 안나옴(키워드가 잘 맞지 않으면) 그래서 센시스를 사용함

2) 기본 검색 명령어

  • Country : 특정 국가 도메인만 검색(ex. US, KR, RU, CN, ...)
    • 검색어 예시 : country:KR
  • City : 특정 도시명으로 검색
    • 검색어 예시 : city:seoul
  • Net : 네트워크 IP 주소대역 기준으로 검색
    • 검색어 예시 : net:8.8.8.8
  • Product : 특정 소프트웨어 이름 기준으로 검색(ex. MySQL, Apache, ...)
    • 검색어 예시 : product:MySQL
  • OS : OS 기준으로 검색
    • 검색어 예시 : os:linux

3) Example

① "국가코드 / Product / OS / 버전" 기준 검색 방법

  • 검색어 : country:"[국가코드]" product:"[MySQL>" os:"[운영체제]" version:"[버전정보]"

② "국가코드 / 지역명" 기준 검색 방법 → 데이터센터 위치 확인용

  • 검색어 예시 : country:KR city:seoul

③ Product & Port 조건식

  • 검색어 예시 : product:docker country:"KR" port:"2375"(2375는 Docker 서비스의 디폴트 포트번호)

④ 네트워크 대역과 국가코드

  • 검색어 : net:"[IP 대역]" country:"[국가코드]"

⑤ 단일 네트워크 IP & Port 별로 검색

  • 검색어 : net:[IP Addr] port:[Port num]

⑥ 해킹된 위변조된 웹 사이트 검색

  • 검색어 : http.title."Hacked by"

⑦ 해킹된 NAS 스토리지(QNAP NAS, Synology NAS, DVR) 정보 검색

  • 검색어 예시 : port:3260 "x00AuthMethod=None\\x00"

⑧ Windows OS 사용하는 POST 정보 검색

  • 검색어 : "Welcome to Microsoft Telnet Service"

⑨ 폴리콤(Polycom) 디버깅 정보 노출

  • 검색어 예시 : "Polycom command shell" country:"KR"

⑩ 서버 랙 위협 정보- 키보드, 모니터/마우스 KVM 스위치

  • 원격 접속이 가능한 KVM 검색(Raritan KVM, Aten KVM)
  • 검색어 예시 : product:rartian

⑪ Exploit 공격 코드 검색

 

Shodan Exploits

 

exploits.shodan.io

+) 아이피 대역으로 검색할 때 주의할 점은 아이피 대역이 북한이라고 해서 북한이 아니다. 또한 아이피 대역이 북한이 아닌데 북한일 수 도 있다. 왜냐하면 북한 애들은 dns등록할 때 북한 ip를 다 막아놨다. 그래서 얘네들은 vpn을 사용하고 ip주소가 계속 바뀔 수 있다. 따라서, country kp 키워드를 사용해서 2개를 같이써야 북한에서 사용하는 주소인지 알 수 있다.

 

3. Censys 사이버 정보수집 도구

홈페이지)

 

Home - Censys

See Your Entire Attack Surface in Real-Time. Get a current view of all of your organization's assets so you can proactively prevent targeted attacks and investigate suspicious activity.

censys.io

1) Censys

  • 일정 쿼리 결과까지는 무료로 사용할 수 있는 사이버 위협정보 수집 도구
  • 센시스에는 쇼단에 없는 기능도 있다. 센시스에는 아이피로도 점검할 수 있고 결정적으로 인증서로도 점검할 수 있다. 쇼단보다는 직관성은 떨어져도 디테일하게 찾을 수 있다.
  • 또한, 핑거프린팅 값으로 검색해보면 동일한 값을 가진 거를 찾을 수 있다.
  • 기본 검색 방법
    • Search IPv4 : IP 주소 기반으로 검색
    • Search Certificates : 인증서 기반으로 검색
      • 검색어 : parsed.issuer.organization.raw:"Symantec Corporation"

2) 센시스 검색

  • 인증서 체인(Certificate Chain)을 활용해 해당 IP의 소속회사나 부서명을 알아낼 수 있다.
  • 센시스 정보 결과 분석
    • 기본 정보 : 네트워크 ASN 번호, Whois
    • 인증서 서명 : 소속기관, 부서명 확인

3) Example

① 국재 정부기관 시스템 통합센터 - 국가정보자원관리원(ASN 번호 17841)

  • 검색어 : autonomous_system.asn:17841

② 스마트시티 / IoT 스마트팩토리 정보 노출

  • 4G/LTE 통신망 장비(Femtocell, LoRaWAN) 및 스마트 팩토리 시스템

③ ICS/SCADA/PLC - 지멘스 PLC 디바이스 정보 검색

  • 검색어 예시 : tags:scada AND metadata.manufactory:siemens AND location.country_code : KR

④ ICS/SCADA/PLC - SCADA 정보 검색(dnp는 Search Port 번호가 20000번)

  • 검색어 예시 : tags:dnp3 AND location.country_code : KR

⑤ VPN 정보 수집

  • 검색어 예시 : 443.https.tls.chain.parsed.subject_dn: CN=PaloAlto FW VPN

⑥ 콜센터 솔루션의 개인정보 노출

  • 검색어 예시 : "Hexus" and "Callback" and location.country_code : KR

⑦ 네트워크 장비 SNMP

  • 검색어 예시 : (161.snmp.banner.oid_system.name: Hacked by) and location.country_code : KR

⑧ 홈페이지 해킹 흔적

  • 검색어 예시 : "Hacked" and location_code: KR

⑨ 가상 암호화폐 채굴 악성코드(CoinHive)가 설치된 네트워크 장비

  • 검색어 예시 : (("CoinHive.Anonymous") AND (MikroTik))
  • 악성코드에 감염된 네트워크 정보 탐색

⑩ 피싱 사이트

  • 검색어 예시 : (서울중앙지방검찰청) AND location.country_code:TW
  • 국내 사법기관을 사칭한 피싱용 인증서 도용 사이트 정보 탐색

⑪ T WiFI 매니저 정보 검색

  • 검색어 예시 : 'VM#1' AND location.country_code:KR
  • WiFi 관리서버 정보 탐색

⑫ 프린터 정보 검색

  • 검색어 예시 : (CWD-AS Office of the president) AND tag:printer
  • 청와대 프린터 정보가 노출된 흔적 검색

 

4. Maltego 사이버 정보수집 도구

사실... 말테고 하나면 다른 OSINT 툴을 사용할 필요가 없다...

 

Mine, Merge, Map data with Maltego

Maltego connects single points of data and creates visual maps of your investigations. Find out how our software works and how it can benefit your work.

www.maltego.com

 

1) Maltego

  • 무료버전(CE)과 상용버전(XL/Classic)이 존재하며 무료버전은 Transfom제약이 있음
  • 클라이언트-서버 구성
  • 써봤을 때 그런 느낌임, 그 범죄자 찾기 위해서 벽에다가 관련 사람들이나 선으로 연결하고 막 그런것 처럼 그래프를 그려줌
  • 여기서는 서버, 관련 사람, ip주소 dns, 등등 한 번에 그래프로 그려줌

2) Maltego 3가지 구성요소

  • 개체(Entity) : DNS, MX(NDS의 이메일 레코드), 이메일 주소, 전화번호 등 약 20개의 엔티티가 제공되며 그래프 상에 하나의 노드로만 표시됨
  • 변환(Transform) : DNS Entity에서 IP주소를 가져오는 등 하나의 Entity 입력으로 수행되는 스크립트나 쿼리를 말함
  • 머신(Machine) : 여러 단계에 걸쳐 수행해야 할 Transform 작업을 자동화한 일종의 Transform 집합들

참고자료)

 

OSINT(Open Source Intelligence) 정보 수집-2 : Maltego 도구 개요 및 사용법

지난 OSINT 정보 수집-1 편에서는 Netcraft 사이트, whois, nslookup 등의 명령어를 통해 네임서버 등 네트워크 관련 정보를 알아내는 법을 살펴보았습니다. 정보수집은 타겟에 대한 가능한한 많은 정보

mrrootable.tistory.com

말테고에 관한 내용은 구글링하면 많이 나오니깐 자세한 설명은 스킵

저작자표시

'Security > 08 Threat Hunting' 카테고리의 다른 글

SNS을 활용한 위협 정보 수집  (0) 2021.07.23
OSINT 위협 정보 수집  (0) 2021.07.23
OSINT 기반 Cyber Threat Hunting  (0) 2021.07.23
'Security/08 Threat Hunting' Related Articles more
Comments