16 mar 2015

OSINT: Blacklist y Google Hacking como fuente de información. Parte 3


Buenas a todos, como muchos ya sabréis llevamos varios años investigando el mundo OSINT, y más de un año desde Zink Security integrando las principales fuentes de información de fuentes abiertas en nuestra tecnología Zink-IT.

Algunas de las técnicas que utilizamos están basadas en antiguos proyectos como Anubis, con ya 5 años de antigüedad, que utilizaba ciertas búsquedas OSINT con el objetivo de automatizar las labores de Footprint en un proceso de intrusión web.

Anubis permitía realizar Google Hacking sobre un dominio, lo que permitía extraer los subdominios, listados de páginas alojadas bajo un dominio, así cómo los listados de servidores de DNS utilizados, servidores de correo y un largo etcétera. Este mismo proceso puede ser muy interesante en procesos de ciberinteligencia, para la búsqueda de amenazas entre los dominios de nuestros clientes.

Pongamos un ejemplo sencillo. Una búsqueda en Google Hacking como la siguiente nos va a permitir conseguir de forma rápida y gratuita, miles de ficheros de texto con listados de direcciones IPs registradas como Blacklist:


Habrá falsos positivos, por supuesto, pero es una manera rápida y a coste cero de recopilar información de forma sencilla. Programar un script para cruzar las direcciones IP de nuestros clientes contra todos los listados de IPs en blacklist situadas en los resultados de Google es sencillo, ¿verdad? Y de una forma automatizada vamos a poder monitorizar de forma regular (mediante scripts y tareas programadas) si alguno de sus servicios ha sido atacado, sufre malware, utiliza un proxy malicioso, etc. etc.

Las queries de Google Hacking las podemos afinar mucho más, e incluso cruzarlas con resultados ofertados por Bing y otros buscadores destacados. Lo importante aquí es tomar varias fuentes como referencia.

Podemos ir afinando poco a poco las queries de Google Hacking, para limitar los resultados (por ejemplo), en los que salga el término IP y HOST, no formen parte de Github (donde encontraréis mucho fichero en texto plano que no os serán de utilidad por tratarse de códigos) o incluso hayan sido fichados o actualizados por Google en el último mes:


En este punto lo importante es la imaginación del analista para conseguir buenos listados de blacklist.

También es interesante incluir en los resultados de búsqueda algunas direcciones IP o HOSTs situados en blacklist que ya tengamos fichados, para intentar localizar otros listados donde figure también dicho activo:



Técnicas como esta son algunas de las centenares de fuentes de información que hemos integrado en Zink-IT. Si os apetece saber más sobre esta tecnología no dejes de visitar la página oficial en:


Saludos!

No hay comentarios:

Publicar un comentario