信息搜集:前期搜集
在信息搜集之前,我们要确认两件事。一是确定搜集的范围:是对目标组织做全面的踩点,还是把自己的踩点活动范围控制在它的某个子公司或某个特定的地理位置?抑或是公司合作伙伴联系或灾难恢复网站?是否有其他关联和需要注意的事项?二是获取必要的权限。绝对不能触犯法律
前言
信息搜集其实就是从公开渠道获取信息。在允许的范围内使用各种手段获得必要信息。
一、web公司的网页
研究目标组织的web网页。目标组织的web网页会向攻击者提供大量有用的信息:
在HTML源代码里的注释语句。
在自己的机器中保留一根目标站点的本地拷贝
并非所有网页中保存的文件和目录都是由谷歌索引的直接链接或埋藏在HTML注释中。可以穷举网页中包含的所有潜在的文件和目录。
可以使用DirBuster工具自动实现。一旦选择了选择了一个列表并声明了文件扩展类型,工具就递归式地列举隐藏的文件和目录。穷举操作完成,DirBuster便提供一个报表功能,允许将其导出到相应的文件和目录中,这些到处的文件或目录是由请求搜索操作对应的 代码指定的。穷举动作较大,容易引起目标方的注意,因此DirBuster同时包含一个代理功能通过privoxy来转发流量。
还应该调查目标组织是否还建立有其他站点,其他低级域名。很多组织都建有专门的站点来处理通过web浏览器来访问本单位内部资源的请求,这类资源的URL大多为这些:
此外不少组织还建立自己的VPN网,所以试着访问
这类站点往往能命中公司为帮助最终用户链接到该公司的VPN网而建立的网站。在这类网站商通常可以查到VPN软件的供应商和版本信息及下载和配置VPN客户端软件的具体步骤
二、相关组织
目标组织对其他组织的引用或链接也值得注意。例如许多目标组织的web开发和设计是外包的。在web主页的某个文件中找到来自作者的注释。也就是说合作公司也是一个潜在的攻击目标
三、地理位置细节
有了地址可以去翻垃圾、盯梢、进行社交工程或者展开其他非技术性的攻击。利用地理地址还可能非法入侵对方的办公大楼、有线或无线网络、计算机等
google公司的街道信息收集车辆在全国范围内开行的时候,它不仅记录视觉数据实现street view功能,同时还捕捉车辆移动中经过的任意WiFi网络及其相关的MAC地址
四、员工信息:
联系人名单和电子邮件地址也是非常有用的情报。大多数组织都会使用其员工新明的某种变体作为他们的用户名和电子邮件地址。如果得到其中一项,就很可能能够推测除其他信息来。
如果得到电话号码,就可以通过某些网站查出你的地理地址。它们还可以根据你的电话号码问他们的拨号轰炸攻击设定一个攻击范围,或是发起社交工程攻击获得更多的信息
在线获取大量员工的简历。如果一个组织需要一个老练的安全技术人员特定的角色和工作只能,该技术人员需要样样精通。公司必须提供细节从而招聘到有能力的人员。如果公司在招聘时粘贴告示说要招聘一位技术人员,就可以推测出它们使用的防火墙和IDS。也许它们对外宣传需要招聘一名入侵侦测专家进行开发,这是否透露了其当前的时间侦测和响应的能力?它们是否处于混乱?如果不提供细节信息,也许打一个电话就知道。假装是一名猎头,然后开始询问问题。此类信息可以帮助攻击者了解目标企业安全状况的详细信息。
可以成为一名注册企业,并支付访问费用,然后利用网站上的海量简历。
对于公司来说,询问被解雇职员。它们可能会偷取、销售乃至泄露公司的秘密,破坏设备,摧毁数据,设置预定时间之后就会爆发的逻辑炸弹,留下便于访问的后门,或其他行为。
攻击者还可能会对某位员工的家用电脑感兴趣,因为员工的家用电脑里都会有远程访问本单位内部信息资源的途径。可以在某位员工的这类电脑或笔记本电脑里偷偷安装一个击键记录器。
五、近期重大事件:
合并、收购、丑闻、裁员、短时间大量增员、重组、外包、大量使用临时合同商以及其他事件。
例如公司在合并或收购之后需要把各相关的网络整合起来,满足数据交换方面的需求,安全问题通常会被放在次要位置
人的因素也会给黑客提供机会。在大事件中,员工士气可能比较低落,大家更关心自己的求职简历而不是系统的安全日志或最新的升级补丁
在一个快速扩张的企业里,规章制度和业务流程的调整往往会落后于实际发生的变革。有些不起眼的人可能会是黑客
上司公司近期重大时间会在网商被传播的沸沸扬扬。公司需要向证监会定期提交很多种报告。最让人感兴趣的是季度和年度报告。这两种报告可以在www.sec.gov网站的EDGAR数据库里检索到。可以使用关键字merger(合并)、acquisition(获取)、acquire(收购)、subsequent event(后续事件)进行搜索
一些商务信息网站和证券交易网站也可以提供类似的信息
六:已归档信息:
在网上有一些专门归档保存过期信息的站点,从这类站点上可以检索出很多从其原始来源都无法查到的消息。这类站点WayBack Machine网站archive.org以及Google的缓存结果
七:搜索引擎和数据关系:
许多搜索引擎都提供了这样或那样的高级搜索功能,可以把最细枝末节的信息查找出来
例如可以用Google搜索开放着远程桌面服务的计算机。只要攻陷了这样的服务器,攻击者只需要使用浏览器和ActiveX RDP客户程序,就可以通过RDP协议获得以全图形化控制台方式访问目标服务器的权限。
www.hackersforcharity.org/ghdb/中可以找到谷歌黑客攻击数据库。里面可以找到黑客经常用于web信息挖掘的最佳Google搜索字符串
现在还有自动化工具。www.snakeoillabs.com的Athena2.0、SiteDigger2.0(www.foundstone.com)和Wikto2.0(www.sensepost.com/research/wikto)。这几种工具可以从Google搜索引擎的缓存内容里搜索除大量的安全漏洞、错误、配置缺陷、独有专用信息和各种安防细节,其范围是世界各地的web网站
SiteDigger还具备自动升级功能–可以下载最新的GHDB数据库Foundstone搜索条件清单来配合该工具的使用
当掠夺一个网站的文档以后去信息时,还要分析隐藏在文档中的元数据。可以获取FOCA来识别和分析存储在文件中的元数据(www.informatica64.com/foca.aspx)。FOCA利用一些搜索引擎入侵类似的技术来识别常见的文档扩展。识别除文件后,这些工具允许用户选择要下载和分析的文件。完成分析后工具会将元数据结果分类成汇总信息。
www.shodanhq.com是一个搜索引擎,专门设计用于查找纳休认证和授权机制存在不安全漏洞的因特网系统和设备。如家用路由器,也可以搜索高级SCADA系统。攻击者可以通过SHODAN的网页接口,也可以通过开发者编写程序时透露的API集来使用SHODAN功能。
Usenet论坛或新闻组也是手机敏感信息的好资源。Google搜索引擎为Usenet新闻组提供了一个非常好的web搜索界面,这个界面的背后是Google公司的各种高级偶素所功能。比如以"pix firewall config help"作为关键字搜索,可以找到很多人请求别人帮忙配置它们的Cisco PIX防火墙的帖子。有很多人会把它们当前使用的配置参数剪切在自己的帖子里。这类搜索还允许你使用某个特定域里的电子邮件地址或其他感兴趣的搜索字符串对其进行细化
即便他知道不应该把自己的系统配置细节张贴在公共论坛上,也可以成为社工的受害者。攻击者可以假装友好的表示可以帮助他,再表示自己需要更多细节才能解决问题。
为了实现自动化,Maltego是不错的工具,用于数据挖掘,并且将相关的信息关联到特定的对象上。Maltego提供了对信息进行聚合和关联的能力,并以用户易于理解的图形化表示方法展示这些关联关系给用户。
八、其他信息:
公众信息安全对策:以上提到的许多中信息必须公诸于世,向删除它们或者不让别人查到的想法都不显示。因此要对公布的信息进行评估和分类。www.faqs.org/rfcs/rfc2196.html;网站安全手册。是从策略方面解决问题的最佳参考文献之一。应该复查各种资源。并且把敏感资源全部删除干净。
总结
这就是前期可能会用到的方法,接下来会讨论本地信息搜集和远程信息搜集相关的东西