Reconhecimento como um cyber scout – Parte 1.
Saudações, queridos leitores! Como estão vocês? Que o deus do hacking esteja presente em suas vidas! Brincadeiras à parte, através deste artigo, que na verdade será uma série de 3 partes, estarei abordando o tema da reconhecimento e coleta de informações. Como o tema é muito extenso e profundo, e para evitar que seja monótono, decidi dividi-lo. Neste primeiro artigo, vamos falar sobre o conceito de reconhecimento, coleta de informações e inteligência de fontes abertas.
<ALERTA DE SPOILER> Fiquem ligados em nossa série de artigos, pois estaremos publicando uma contribuição para a famosa ferramenta ReconFTW. <ALERTA DE SPOILER>.
Reconhecimento de perímetro e inteligência de fontes abertas
Por que e como as informações são coletadas do perímetro de uma empresa? Como diz o provérbio chinês “Para cortar uma árvore rapidamente, gaste o dobro de tempo afiando seu machado”. Tragamos isso para nossa interpretação: “Quanto mais informações você conseguir, melhor será o resultado do seu ataque”.
Este artigo abordará os fundamentos de uma enumeração de perímetro, passando pela famosa ferramenta “ReconFTW”, que automatiza todo o processo, e concluirá detalhando a contribuição do autor para o projeto, que é de código aberto e foi concebido por “Six2dez”.
O tema das operações de equipe vermelha vem do ambiente militar, representando uma maneira sistemática de incluir o pensamento crítico e contrário no processo de planejamento estratégico de qualquer organização. Foi desenvolvido pelas forças militares e agências de inteligência dos EUA para superar o viés cognitivo e o pensamento de grupo, forçar os tomadores de decisão a desafiar suas suposições e prevenir os “fracassos de imaginação” que levaram aos ataques terroristas de 11 de setembro e às guerras e desastres que se seguiram.
Como bons operadores, precisamos ser capazes de identificar e construir a cadeia de vulnerabilidades. Para isso, a coleta de informações e inteligência é essencial para ter precisão em nossas ações.
Explicando o infográfico acima, quando uma operação é iniciada, o ponto crucial é a coleta de informações. O foco está em tudo o que é pertinente para a empresa, ou seja: arquivos/informações vazadas, dados públicos na internet, serviços de terceiros, tecnologias, hosts, aplicativos, equipamentos e, por último mas não menos importante, pessoas (funcionários).
Entrando na parte em que as coisas começam a ficar interessantes, abordaremos os tópicos relacionados aos temas apresentados, explicando o que são e como fazemos para alcançar o objetivo.
Os assuntos que serão abordados são:
- Inteligência de fontes abertas (informações publicadas na internet)
- Coleta de subdomínios
- Identificação de hosts
- Verificação de aplicativos web
- Verificação automática de vulnerabilidades (bônus)
Inteligência de Fontes Abertas (OSINT):
OSINT (open-source intelligence or open-source information – em português: inteligência de fontes abertas ou informação de fontes abertas) é o termo usado para descrever informações obtidas de fontes disponíveis para o público em geral, como jornais, revistas científicas e a internet.
Essas são as fontes que têm as informações mais valiosas das quais podemos aproveitar para rastrear nossos robôs e identificar e coletar dados para auxiliar em nossa invasão.
Vamos falar sobre:
- Informações de domínio (whois e amass):
“Domain Names” são uma parte fundamental da infraestrutura da Internet. Eles fornecem um endereço legível para qualquer servidor web disponível na Internet. Qualquer computador conectado à Internet pode ser acessado via um endereço IP público, consistindo de 32 bits IPv4 (geralmente escritos como quatro grupos de três números entre 0 e 255, separados por pontos, por exemplo, 173.194.121.32) ou consistindo de 128 bits IPv6 (geralmente escritos como oito grupos de 4 números hexadecimais, separados por dois pontos, por exemplo. 2027:0da8:8b73:0000:0000:8a2e:0370:1337).
Os computadores podem lidar facilmente com esses endereços, mas as pessoas têm dificuldade em descobrir quem está executando o servidor ou que serviço o site oferece. Endereços IP são difíceis de lembrar e podem mudar ao longo do tempo, e um site pode até ter vários deles. Para resolver todos esses problemas, usamos endereços legíveis por humanos chamados de nomes de domínio.
WHOIS é um protocolo de consulta e resposta que fornece informações sobre nomes de domínio existentes e seus dados pertinentes.
O Amass realiza mapeamento de rede de superfícies de ataque e descoberta de ativos externos usando técnicas de coleta de informações de código aberto e reconhecimento ativo. Ele já faz isso e possui outras funcionalidades.
- Coleta de informações através de mecanismos de busca/mídias sociais (theHarvester e emailfinder):
Consiste em buscar informações públicas como endereços de e-mail, nomes de usuários, hosts, links e outras coisas que são públicas na internet. Essa busca ocorre por meio de serviços como anubis, baidu, bevigil, binaryedge, bing, bingapi, bufferoverun, censys, certspotter, crtsh, dnsdumpster, duckduckgo, fullhunt, github-code, hackertarget, hunter, intelx, otx, pentesttools, projectdiscovery, qwant, rapiddns, rocketreach, securityTrails, sublist3r, threatcrowd, threatminer, urlscan, virustotal, yahoo e zoomeye. O importante é utilizar esses mecanismos de busca o máximo possível para encontrar esses valores.
theHarvester é uma ferramenta poderosa projetada para ser usada durante a etapa de reconhecimento de uma avaliação da equipe vermelha ou teste de penetração. Ele realiza a coleta de inteligência de fontes abertas (OSINT) para ajudar a determinar a paisagem de ameaças externas de um domínio. A ferramenta reúne nomes, e-mails, IPs, subdomínios e URLs usando múltiplos recursos públicos.
EmailFinder é projetado para encontrar e-mails corporativos filtrados pelos mecanismos de busca. Isso é feito pesquisando por @company.com. O objetivo é ter o mínimo possível de e-mails nos mecanismos de busca.
- Vazamentos de senhas (H8mail):
Vazamentos de senhas podem nos ajudar a entender o padrão de senhas usadas por um usuário ou até mesmo reutilizá-las. Essa busca é realizada por meio de serviços de bancos de dados que verificam se o e-mail usado faz parte de um vazamento.
h8mail é uma ferramenta de OSINT de e-mail e busca por violações usando diferentes serviços de violação e reconhecimento, ou violações locais, como a “Collection1” de Troy Hunt e o famoso torrent “Breach Compilation”.
- Localizador de metadados (MetaFinder):
Metadados são dados que descrevem outros dados. O prefixo “meta” significa “uma definição ou descrição subjacente”. Portanto, os metadados descrevem qualquer peça de dados à qual estão conectados. Como os metadados resumem informações básicas sobre os dados, como tipo de autor, data de criação, uso, tamanho do arquivo e mais, os metadados são cruciais para a eficiência dos sistemas de informação na classificação e categorização dos dados. Além disso, as informações de metadados ajudam os sistemas de TI a descobrir o que os usuários estão procurando.
MetaFinder busca documentos em um domínio por meio de mecanismos de busca. O objetivo é extrair metadados.
- Google Dorks (dorks_hunter):
Google Dorks é uma técnica usada para otimizar pesquisas no Google usando seus recursos para aprofundar a indexação ou até mesmo encontrar informações sensíveis sobre empresas e pessoas. Além disso, é uma ótima ferramenta para encontrar coisas mais específicas dentro de sites e URLs como PDFs, documentos, etc.
- Github Dorks (gitdorks_go):
Funciona de forma semelhante ao Google Dorks, porém operando na plataforma GitHub.
Gitdorks_go é uma ferramenta que utiliza a API de pesquisa do GitHub e uma extensa lista de dorks do GitHub compiladas de várias fontes para fornecer uma visão geral de informações sensíveis armazenadas no GitHub, dado uma consulta de pesquisa. O objetivo principal do Git Dork é fornecer ao usuário uma superfície de ataque limpa e personalizada para começar a coletar informações sensíveis no GitHub. O GitDorker pode ser usado com ferramentas adicionais como GitRob ou Trufflehog em repositórios ou usuários interessantes descobertos pelo GitDorker para produzir os melhores resultados.
- Análise de organizações do GitHub (enumerepo e trufflehog):
Enumeração de uma organização na plataforma GitHub. Verificação de senhas, chaves e dados sensíveis que foram hospedados publicamente e erroneamente pelos desenvolvedores.
EnumerepoLista todos os repositórios públicos para nomes de usuário (válidos) do GitHub. Trufflehog Encontra credenciais vazadas.
Isso conclui a primeira sessão de nossa série baseada em reconhecimento e coleta de informações. Recomendamos que os temas apresentados sejam estudados em profundidade e que outras ferramentas com o mesmo propósito sejam testadas, para que nossa mentalidade seja expandida.
Saudações à todos e vamos destruir o mundo! Vida longa ao offensive!
References:
https://github.com/six2dez/reconftw https://sidxparab.medium.com/best-bugbounty-recon-toolebe635d3b363-ebe635d3b363
https://www.redteamthinking.com/what-is-red-teaming https://www.crowdstrike.com/cybersecurity-101/osint-open-source-intelligence/ https://www.domain.com/blog/what-is-whois-and-how-is-it-used/ https://www.cloudflare.com/pt-br/learning/dns/glossary/what-is-a-domain-name/ https://owasp.org/www-project-amass/ https://www.kali.org/tools/theharvester/ https://pypi.org/project/h8mail/ https://www.avast.com/c-what-is-metadata https://www.avg.com/en/signal/google-dorks https://securitytrails.com/blog/github-dorks