有时候最好的办法就是简单的列出信息,下面是攻击者在侦察活动中可能寻找的信息:
OSINT数据
▍可下载文件
·这为攻击者提供了直接的信息以及收集元数据的机会
▍员工照片和企业活动照片
·这为攻击者提供了直接的信息以及收集元数据的机会
▍人员名单以及领导层信息
·了解谁是谁,并建立企业内部的关系
▍项目和产品数据
·当搜索攻击面和背景信息时很有用
▍B2B关系
·这种数据被用来建立供应链关系和销售渠道以便之后漏洞利用
▍员工的详细信息
·这包括社交媒体的个人和公共数据
▍软件数据
·目标企业内使用的软件类型
构建完整的个人资料
完整个人资料包括:全名、地址(过去和现在)、电话号码(个人和工作)、出生日期、社会安全号码、 ISP的数据(IP地址、提供商)、用户名、密码、公共记录数据(税收、信贷历史、法律记录)、爱好、最喜欢的餐馆、电影、书籍等等。
攻击者会试图收集所有这些信息,每次攻击活动需要的信息量都不同。然而,信息量越大,攻击者成功的几率就越大。
构建完整的技术资料
技术资料信息包括:网络地图、从元数据获取的技术详细信息、IP地址、可用硬件和软件信息、操作系统详细信息、平台开发数据和验证措施。
有了这些信息,攻击者可以利用个人资料数据并瞄准服务台。知道ID是如何创建的可以帮助攻击者了解电子邮件地址是如何创建,更方便地进行钓鱼攻击、猜测地址或初步沟通。攻击者还可以搜寻操作系统、第三方软件和平台数据的漏洞或默认访问。
数据收集资源:
在侦察阶段,这些网站被用来收集个人资料信息,每个新信息都会给攻击者带来更多可利用信息。社交媒体信息会提供名字和图片。
攻击者知道去哪里寻找数据。根据不同目标,攻击者会为信息或信息服务付款。然而,请注意,这并不是全面的资源清单,只是经常会提到的资源。
Google (www.google.com)
个人/企业搜索
这些网站提供了对个人用户、企业以及二者之间联系的公共信息。
Zoom Info (www.zoominfo.com)
PIPL (www.pipl.com)
Intelius (www.intelius.com)
Muckety (www.muckety.com)
其他搜索资源
Web Archive (www.archive.org)
GeoIP (www.geoiptool.com )
Robtex (www.robtex.com)
KnowEm (www.knowem.com)
ImageOps (http://imgops.com)
SHODAN (www.shodanhq.com)
整理收集的数据
在侦察阶段整理所有收集到的各种信息,推荐的工具是Maltego。Maltego是一个OSINT工具,黑客、执法机构和安全专家使用它来管理信息链。它提供对数据的可视化概览,能够帮助整理用户、组织、机构、网络信息之间的关联。
常见工具和软件
对于在侦察阶段攻击者使用的工具,通常很容易获得且易于操作,包括这些:
SQLMap (http://sqlmap.org)
BackTrack Linux (http://www.backtrack-linux.org)
Metasploit (http://metasploit.org)
4、总结
防止侦察几乎是不可能的。你可以缓解一些攻击,但互联网本身的性质意味着信息会以这种或那种形式存在,并且,最终将被攻击者发现。对于缓解措施,下面是需要考虑的事情。
监控日志记录和分析应用程序中异常下载流量高峰。
决不允许内部端口(内网)、文档或存储中心从网络外部访问。通过受限制IP或企业VPN以及ACL政策管理对这些资源的访问。此外,良好的IAM(身份和访问管理)也可以作为不错的防御。启用多因素身份验证,有效管理过时的账户和密码。
同样地,监控网络中的ICMP流量。此外,观察对网络子网的扫描。这很罕见,并且相当明显,但这确实会发生。对看似随意的端口进行检查。
对于OSINT,另一个防御技术是限制公开显示的信息量;包括电话簿、员工名单、过于具体的人员和领导介绍、项目计划、业务和渠道合作伙伴以及客户名单。
虽然这些数据并不是特别重要,但这些数据可以提供广泛的攻击面。如前所述,过滤元数据也是关键的缓解措施。然而,对这些数据的限制需要通过风险评估来确定,这需要所有业务领域的参与。
还要注意标语提取,这是攻击者了解企业技术缓解常用的易于使用的技术。在攻击者进行侦查后,下一个步骤将是武器化和交付。本系列的第二部分将研究这个方面以及解决办法。
(责任编辑:安博涛)
