5 jul 2019

#SpiderFoot: mucho más que lejos de casa... (Parte I)

Buenas a todos, en el día de hoy quería compartir con vosotros la aplicación SpiderFoot, de @binarypool, una herramienta de reconocimiento que consulta automáticamente más de 100 fuentes de datos públicas (OSINT) para recopilar información sobre direcciones IP, nombres de dominio, direcciones de correo electrónico, nombres y más.

En concreto en este post cubriremos la instalación de SpiderFoot mediante Docker para no tener que lidiar con las dependencias de Python. Una vez instalado, analizaremos un dominio de mi propiedad (no queremos meternos en líos :P) y observaremos que datos nos arroja la herramienta sobre el mismo.

¡Así que comencemos!

Instalación de SpiderFoot

Para la instalación de SpiderFoot necesitaremos tener instalado Docker, una vez lo tengamos instalado solo tendremos que ir al repositorio mencionado anteriormente y obtener la última versión en formato zip del repositorio. (Puedes usar también git si te es más comodo)

Procedemos a crear la imagen de Docker con el Dockerfile que se nos proporciona en el repositorio, para ello dentro de la carpeta de instalación ejecutamos:
docker build -t spiderfoot .
Y tras esperar un poco que se descargue la imagen de Alpine y se instalen las dependencias necesarias, podremos lanzar nuestro contenedor exponiendolo en el puerto 5009 de nuestra máquina y haciendolo correr en background para permitirnos realizar otras tareas.
docker run -p 5009:5001 -d spiderfoot
Finalmente cuando tengamos corriendo nuestro servicio podremos acceder a él desde el navegador (aunque también cuenta con versión CLI) desde localhost:5009 si estamos corriendolo en local.

Configuración de SpiderFoot

A día de la publicación de este post, la versión que se muestra es la 3.0 y en ella podemos encontrar diversas pestañas en la WebUI, donde podemos configurar los módulos, así como añadir API Keys a los módulos que poseamos una API, ya sea por el número de peticiones que queremos realizar, o si simplemente queremos usarlo (como Shodan o VirusTotal).


Nueva búsqueda en SpiderFoot

Para realizar una nueva búsqueda o escaneo bastaría con introducir un nombre que identificase al escaneo que queremos realizar y un objetivo, que podría ser un dominio, una IP, una subred, una dirección de mail o un nombre.

De igual forma podemos definir lo intrusivo que puede ser nuestro escaneo, si queremos que todos los módulos activos se despliguen bastaría con lanzar el escaneo seleccionando All.

También podemos hacer una selección por módulos o por el tipo de información que queremos obtener, esto puede hacerse respectivamente en las secciones: By Module y By Required Data


Análisis de búsquedas en SpiderFoot

Durante el escaneo podemos observar como se van obteniendo los datos poco a poco, así como se observa que el escáner se retro alimenta a la vez que va obteniendo datos.

Para ilustrar esta herramienta escanearemos mi propio dominio, donde tengo vinculado una cuenta de ProtonMail, así como donde cacharreo un poco con Dockers (ya veremos como esto último queda bastante presente ;))

Como yo he dejado que realizase el escaneo completamente, seleccionaremos el escaneo que queremos estudiar o analizar:



Una vez seleccionado el escaneo, si queremos visualizar el tipo de datos que hemos recogido iríamos a la pestaña de Status donde podremos ver una vista general de que niveles de datos tenemos.




Podemos observar que se han encontrado excesivos datos sobre certificados SSL (🤔) y sobre páginas de Wikipedia (?).

Que se hayan encontrado tantos certificados SSL no es algo normal si la extensión del dominio no es muy grande, sin embargo, esto ha ocurrido porque al intentar configurar mi Reverse Proxy con Traefik tuve una serie de problemas... :) y esto quedó registrado en Let's Encrypt al intentar firmar varios subdominios.




Esto podremos observarlo en el grafo con mayor detalle, al igual que explicaré porque han aparecido tantas páginas de Wikipedia y como podemos deshacernos de datos no relevantes en esta herramienta. Pero esto será en el próximo post, espero que os haya gustado y esperéis la siguiente entrada con ganas.

¡Saludos!

No hay comentarios:

Publicar un comentario