Следы и разведка

Footprinting - это процесс сбора информации о целевой системе. Это первый шаг атаки, при которой злоумышленник пытается узнать как можно больше о цели, чтобы найти способ проникнуть в систему.



Типы следов

Есть два типа следа:

  • Пассивный след
  • Активный след

Пассивный след означает сбор информации без прямого взаимодействия с целью. Этот тип следа используется, когда сбор информации не должен быть обнаружен целью.


Активный след означает сбор информации путем непосредственного взаимодействия с целью. С этим типом следа есть шанс, что цель узнает о сборе информации.

Злоумышленники используют следы для сбора следующей информации:


  • Сетевая информация

    • Домены

    • Поддомены

    • IP-адреса

    • Записи Whois и DNS

  • Системная информация

    • Операционные системы веб-сервера

    • Расположение серверов

    • Пользователи

    • Пароли

  • Информация об организации

    • Информация о сотрудниках

    • История организации

    • Телефонные номера

    • Локации



Цели следа

Цели следа:


  • Изучите состояние безопасности Проанализируйте состояние безопасности цели, найдите лазейки и создайте план атаки.


  • Определите область внимания Используя различные инструменты и методы, сузьте диапазон IP-адресов.


  • Найдите уязвимости Используйте собранную информацию, чтобы определить слабые места в безопасности цели.



  • Составьте карту сети. Графически представьте сеть цели и используйте ее в качестве ориентира во время атаки.



Как и где собирать информацию

Существует множество инструментов и онлайн-ресурсов, которые мы можем использовать для сбора информации о нашей цели.

Поисковая система и Интернет-ресурсы

Поисковые системы могут использоваться для извлечения информации о целевой организации. Результаты поиска могут включать информацию о сотрудниках целевой организации, интрасети, страницах входа и другую информацию, которая может быть полезна злоумышленникам.

Одним из способов сбора информации с помощью поисковых систем является использование методов взлома Google.


Взлом Google - это метод, который злоумышленники используют для выполнения сложного поиска и извлечения важной информации о своих целях. Это предполагает использование набора поисковых операторов и построение сложных запросов. Операторы, которые используются при взломе Google, называются придурками.

Whois, геолокация IP и запрос DNS

Кто

Whois относится к протоколу запросов и ответов, который используется для получения информации о назначенных интернет-ресурсах.

Базы данных Whois содержат личную информацию владельцев доменов и обслуживаются региональными интернет-реестрами.

Существуют два типа моделей данных:


  • Толстый whois
  • Тонкий whois

Толстый whois содержит всю информацию от всех регистраторов для указанного набора данных. Тонкий whois содержит ограниченную информацию об указанном наборе данных.

Результаты запроса Whois обычно включают:

  • Детали домена
  • Детали владельца домена
  • Сервер домена
  • Чистый диапазон
  • Срок действия домена
  • Даты создания и последнего обновления

Региональные интернет-реестры, которые поддерживают базы данных whois, включают:

  • ARIN (Американский реестр интернет-номеров)
  • AFRINIC (Африканский сетевой информационный центр)
  • APNIC (Азиатско-Тихоокеанский сетевой информационный центр)
  • RIPE (Координационный центр сети Reseaux IP Europeens)
  • LACNIC (Сетевой информационный центр Латинской Америки и Карибского бассейна)

Геолокация IP

Геолокация IP помогает найти информацию о местоположении цели, такую ​​как страна, город, почтовый индекс, интернет-провайдер и т. Д. Обладая этой информацией, хакеры могут проводить атаки социальной инженерии на цель.


DNS-запрос

Отслеживание DNS относится к сбору информации о данных зоны DNS, которая включает информацию о ключевых узлах в сети.

Инструменты DNS-запроса помогают злоумышленникам выполнять отслеживание DNS. Используя эти инструменты, злоумышленники могут получить информацию о типах серверов и их местонахождении.

Email Footprinting

Следы электронной почты - это сбор информации из электронных писем путем отслеживания доставки электронной почты и проверки заголовков.

Информация, собранная с помощью следа электронной почты, включает:

  • IP-адрес получателя
  • Геолокация получателя
  • Информация о доставке
  • Посещенные ссылки
  • Информация о браузере и ОС
  • Время чтения

Заголовки электронной почты содержат информацию об отправителе, теме и получателе. Вся эта информация важна для хакеров при планировании атаки на свою цель.

Информация, содержащаяся в заголовках электронной почты, включает:

  • Имя отправителя
  • IP / адрес электронной почты отправителя
  • Почтовый сервер
  • Система аутентификации почтового сервера
  • Штамп отправки и доставки
  • Уникальный номер сообщения

Также можно отслеживать электронные письма с помощью различных инструментов отслеживания. Инструменты отслеживания электронной почты имеют возможность отслеживать электронные письма и проверять их заголовки для извлечения полезной информации. Отправитель уведомляется о доставке и открытии электронного письма получателем.

Следы веб-сайтов

След веб-сайта - это метод, при котором информация о цели собирается путем мониторинга веб-сайта цели. Хакеры могут незаметно отобразить весь веб-сайт цели.

След веб-сайта дает информацию о:

  • Программное обеспечение
  • Операционная система
  • Подкаталоги
  • Контакты
  • Платформа сценариев
  • Детали запроса

Изучая заголовки веб-сайта, можно получить информацию о следующих заголовках:

  • Тип содержимого
  • Принять-диапазоны
  • Статус подключения
  • Информация о последних изменениях
  • X-powered-by Информация
  • Информация о веб-сервере

Дополнительные способы сбора информации - использование исходного кода HTML и проверка файлов cookie. Изучая исходный код HTML, можно извлечь информацию из комментариев в коде, а также получить представление о структуре файловой системы, наблюдая за ссылками и тегами изображений.

Файлы cookie также могут раскрывать важную информацию о программном обеспечении, запущенном на сервере, и его поведении. Кроме того, просматривая сеансы, можно идентифицировать платформы сценариев.

Существуют программы, предназначенные для помощи в создании следа на веб-сайтах. Эти программы называются веб-пауками, и они методично просматривают веб-сайт в поисках конкретной информации. Собранная таким образом информация может помочь злоумышленникам в проведении атак социальной инженерии.

Клонирование сайтов

Зеркальное отображение веб-сайта или клонирование веб-сайта относится к процессу копирования веб-сайта. Зеркальное отображение веб-сайта помогает просматривать его в автономном режиме, искать на нем уязвимости и находить ценную информацию.

Веб-сайты могут хранить документы различного формата, которые, в свою очередь, могут содержать скрытую информацию и метаданные, которые могут быть проанализированы и использованы при выполнении атаки. Эти метаданные могут быть извлечены с помощью различных инструментов извлечения метаданных, а также могут помочь злоумышленникам в проведении атак социальной инженерии.

Сетевой след

Сетевой след - это процесс сбора информации о целевой сети. Во время этого процесса злоумышленники собирают информацию о диапазоне сети и используют эту информацию для отображения сети цели.

Диапазон сети дает злоумышленникам представление о том, как устроена сеть и какие машины принадлежат к ней.

Nmap

Nmap - это инструмент, используемый для обнаружения сети. Он использует необработанные IP-пакеты для определения доступных хостов в сети, услуг, предлагаемых этими хостами, операционных систем, которые они работают, типов используемых межсетевых экранов и других важных характеристик.

Возможности Nmap включают способность сканировать большие сети, а также составлять карты сетей.

Traceroute

Программы Traceroute используются для обнаружения маршрутизаторов, находящихся на пути к целевому хосту. Эта информация помогает при проведении атак типа 'злоумышленник посередине' и других связанных атак.

Traceroute использует протокол ICMP и поле TTL в заголовке IP для обнаружения маршрута. Он записывает IP-адреса и DNS-имена обнаруженных маршрутизаторов.

Результаты трассировки помогают злоумышленникам собирать информацию о топологии сети, доверенных маршрутизаторах, а также о расположении межсетевых экранов. Они могут использовать это для создания сетевых диаграмм и планирования своих атак.



Контрмеры со следами

Некоторые из мер борьбы со следами включают:

  • Ограничение доступа к социальным сетям
  • Применение политик безопасности
  • Информирование сотрудников об угрозах безопасности
  • Шифрование конфиденциальной информации
  • Отключение ненужных протоколов
  • Правильная конфигурация сервиса


Отчеты о следах

Отчеты Footprinting должны включать подробную информацию о проведенных тестах, использованных методах и результатах тестов. Он также должен включать список уязвимостей и способы их устранения. Эти отчеты должны быть строго конфиденциальными, чтобы они не попали в чужие руки.