ابزار OSINT در امنیت سایبری

ابزار OSINT در امنیت سایبری

تاریخ ایجاد

به موازات تکامل و پیشرفت تهدیدات سایبری، سازمان‌ها، صنایع و افراد باید استراتژی‌های دفاعی خود را تطبیق و ارتقا دهند. یکی از ابزارهای قدرتمندی که در سال‌های اخیر پدیدار شده است، OSINT  مخفف عبارت هوش منبع باز یا (Open Source intelligence) است. زمانی که OSINT به درستی مورد استفاده قرار گیرد، می‌تواند دید ارزشمندی در مورد تهدیدات و آسیب‌پذیری‌ها ارائه دهد و اثربخشی تلاش‌های حوزه امنیت سایبری را افزایش دهد. استفاده درست از ابزار OSINT در سازمان می‌تواند امنیت سایبری را با کمک به گردآوری اطلاعات مربوط به شرکت، کارمندان، دارایی‌های فناوری اطلاعات و سایر داده‌های محرمانه یا حساس که می‌تواند توسط مهاجم مورد بهره‌برداری قرار گیرد، بهبود بخشد. گردآوری این اطلاعات و پنهان کردن یا حذف آن‌ها می‌تواند در کاهش حملات سایبری نقش مهمی داشته باشد. افرادی که به طور منظم عملیات OSINT را انجام می‌دهند بسته به نیاز خود از مجموعه‌ای از ابزارها استفاده می‌کنند. Netlas.io یک اسکنر اینترنتی (آنلاین) و یک موتور جستجو است که هر آدرس IPv4 و هر نام دامنه شناخته شده را با استفاده از پروتکل‌هایی مانند HTTP، FTP، SMTP، POP3، IMAP، SMB/CIFS، SSH، Telnet، SQL و غیره اسکن می‌کند. داده‌های جمع‌آوری شده با اطلاعات اضافی دیگر تلفیق شده و در موتور جستجوی آن موجود است. همچنین مجموعه داده‌هایی را برای DNS registry، IP Whois، Domain Whois  وگواهینامه‌های SSL ارائه می‌دهد.
 

شکل ‏1. داشبورد Netlas

شکل ‏1. داشبورد Netlas

شکل 3. برخی اطلاعات وب‌سایت https://netlas.io

شکل 2. برخی اطلاعات وب‌سایت https://netlas.io

Netlas کارایی و قابلیت‌های فراوانی دارد که در ادامه به برخی از آن‌ها اشاره می‌شود:
•    جمع آوری اطلاعات IP/دامنه
•    مدیریت سطح حمله
•    بررسی وب‌سایت‌ها و برنامه‌های کاربردی وب، دستگاه‌های IoT و دارایی‌های آنلاین
•    تست‌های نفوذ و bug bounty (برای شناسایی)
•    شناسایی دامنه‌های shadow IT و فیشینگ
در ادامه برخی از ویژگی‌های Netlas از جمله Subdomain Enumeration بررسی می‌شود. همچنین نحوه پیدا کردن انواع دوربین‌های آنلاین نشان داده می‌شود.
برای استفاده از Netlas، تنها کاری که باید انجام داد این است که به آدرس https://netlas.io مراجعه و روی Try It کلیک کرده و به صورت رایگان ثبت‌نام کرد.
 

شکل 4. صفحه اصلی Netlas

شکل 3. صفحه اصلی Netlas

پس از ورود به سیستم، می‌توان آدرس IP، موقعیت مکانی و اطلاعات Whois خود را دید. در همان نوار جستجو، می‌توان هر آدرس IP یا دامنه‌ را جستجو کرد و Netlas تمام اطلاعات مربوط به آن را ارائه می‌دهد. با Netlas می‌توان اطلاعات بیش‌تری مانند آدرس IP، اطلاعات Whois، مکان، ایمیل‌ها، شماره‌ها، دامنه‌های مرتبط، Name Server Records  و  MX(Mail Exchange Records) را پیدا کرد. همچنین تمام پورت‌ها و سرویس‌های موجود را که در حال اجراست، عمدتا https، و در صورت وجود CVE آسیبب‌پذیری آن سرویس را مشاهده کرد. همچنین یک فیلتر برچسب (Tag) وجود دارد که Pulse Secure را نشان می‌دهد.(Pulse Secure نرم‌افزاری است که دسترسی ایمن و تأیید شده را برای کاربران از راه دور و تلفن همراه از هر دستگاه دارای وب، به منابع شرکت فراهم می‌کند).

شکل 5. جستجوی IP/domain

شکل 4. جستجوی IP/domain

مثال مورد استفاده در این بخش، سایت tetrapak.com می‌باشد.
جستجوی DNS سومین گزینه‌ای است که در سمت چپ ابزار آنلاین Netlas قرار دارد. Netlas فهرستی از مثال‌های مفید برای یافتن اطلاعات مورد نیاز در مورد یک دامنه در اختیار ما قرار می‌دهد. شکل 5 جزئیات بیشتری مانند فهرست زیر دامنه‌ها، آدرس‌های IP برای زیر دامنه‌ها، Name Server (NS)، Mail Server Exchange (MX)  و TXT را نشان می‌دهد. همچنین در سمت راست تصویر فیلترهایی مانند Zones & Levels  وجود دارد که می‌توان از آن‌ها برای محدود کردن نتایج خود استفاده کرد.

شکل 6. جستجوی DNS و زیردامنه

شکل 5. جستجوی DNS و زیردامنه

دستور زیر مثالی برای استفاده از فیلتر است:
domain:*.tetrapak.com AND level:4

 

شکل 7. خروجی دستور domain:*.tetrapak.com AND level:4

شکل 6. خروجی دستور domain:*.tetrapak.com AND level:4

مثال برای یافتن دامنه های سطح بالا  (TLD:
domain:*.tetrapak.*
 

شکل 8. خروجی دستور domain:*.tetrapak.*

شکل 7. خروجی دستور domain:*.tetrapak.*

مثال جهت یافتن زیر دامنه های  .net
(domain:*.tetrapak.*) AND zone:(“net”)
 

شکل 9. نتیجه جستجوی زیر دامنه‌های .net

شکل 8. نتیجه جستجوی زیر دامنه‌های  .net

همچنین می‌توان نتایج بررسی در Netlas  را ذخیره نمود.
 

شکل 10. ذخیره نتایج

شکل 9. ذخیره نتایج

در صورت ذخیره نتایج با فرمت Json، جهت آنالیز آن می‌توان از سایت زیر استفاده نمود:
https://jsonformatter.org/json-viewer
یا از دستور cat و grep در kali استفاده کرد.
با استفاده از ابزار Netlas می‌توان گروه خاصی از خدمات یا دستگاه‌ها مانند IP cameras، دستگاه‌های اینترنت اشیا، پایگاه‌های اطلاعاتی، سرورهای وب و غیره را جستجو کرد.
مثال جهت جستجوی دوربین‌های آنلاین:
search (http.title:”Web camera”)
 

شکل 11. جستجوی دوربین‌های آنلاین

شکل 10. جستجوی دوربین‌های آنلاین

دستور شکل ‏10،  همه وب سایت‌هایی  را که کلمه " Web camera" در عنوان http خود دارند، جستجو می‌کند. (همچنین می‌توان از برچسب geo.country:AU  استفاده کرد تا نتایج را بر اساس کشور (به ‌عنوان مثال: کشور استرالیا (AU) ) فیلتر کند.). سپس می‌توان با استفاده از رمز عبور پیش‌فرض و یا bruteforce به دوربین دسترسی پیدا کرد.
دستور زیر جهت جستجو وب‌کم یک سازنده خاص به نام dlink است.
tag.dlink_webcam:*

بنابراین Netlas ابزاری مفید برای یافتن دوربین‌های آنلاین است. همچنین می‌توان با استفاده از درخواست‌های خاص، دوربین‌های سازنده‌های خاصی را که دارای آسیب‌پذیری میان‌افزار هستند یا رمزهای عبور پیش‌فرض دارند، جستجو کرد.
Netlas را می‌توان با tines، Subfinder، Maltego، Amass، Uncover  ادغام کرد. همچنین می‌توان آن را با Nuclei  خودکار کرد. Netlas  دارای یک Chrome Extension اختصاصی است.
Netlas ابزاری کاملا رایگان است و چندین طرح premium با قیمت مناسب ارائه می‌دهد که می‌توان بر اساس نیاز کاری خود از آن‌ها استفاده کرد. طرح‌ها بر اساس محدودیت درخواست، دانلود و نتیجه متمایز می‌شوند. نسخه رایگان Community به شما این امکان را می‌دهد تا روزانه 50 درخواست را به پلتفرم به ‌صورت رایگان ارسال کنید. همچنین دارای یک نسخه Enterprise برای سازمان‌هایی است که به دسترسی نامحدود با تمام ویژگی‌ها و داده‌های Netlas.io نیاز دارند که بهترین راه‌حل را برای تیم‌های امنیت سایبری ارائه می‌دهد.

 منابع خبر:


[1] https://netlas.medium.com
[2] https://github.com/netlas-io
[3] https://github.com/netlas-io/netlas-cookbook

برچسب‌ها
اخبار
هشدارها و راهنمایی امنیتی
  • 245