Отпечатък и разузнаване

Отпечатъкът се отнася до процеса на събиране на информация за целева система. Това е първата стъпка от атака, при която нападателят се опитва да научи възможно най-много за целта, за да намери начин за проникване в системата.



Видове отпечатъци

Има два вида отпечатъци:

  • Пасивен отпечатък
  • Активен отпечатък

Пасивен отпечатък означава събиране на информация без директно взаимодействие с целта. Този тип отпечатък се използва, когато събирането на информация не трябва да бъде открито от целта.


Активен отпечатък означава събиране на информация чрез директно взаимодействие с целта. При този тип отпечатък има шанс целта да осъзнае събирането на информация.

Нападателите използват отпечатъци за събиране на следната информация:


  • Информация за мрежата

    • Домейни

    • Поддомейни

    • IP адреси

    • Whois и DNS записи

  • Системна информация

    • Операционни системи за уеб сървър

    • Местоположения на сървъра

    • Потребители

    • Пароли

  • Информация за организацията

    • Информация за служителите

    • Фон на организацията

    • Телефонни номера

    • Местоположения



Цели на отпечатъка

Целите на отпечатъка са:


  • Научете позицията за сигурност Анализирайте позицията за сигурност на целта, намерете вратички и създайте план за атака.


  • Идентифицирайте зоната на фокуса Използвайки различни инструменти и техники, стеснете обхвата на IP адресите.


  • Намерете уязвимости Използвайте събраната информация, за да идентифицирате слабости в сигурността на целта.



  • Картирайте мрежата Графично представете мрежата на целта и я използвайте като ориентир по време на атаката.



Как и къде да се събира информация

Има много инструменти и онлайн ресурси, които можем да използваме за събиране на информация за нашата цел.

Търсачка и онлайн ресурси

Търсачките могат да се използват за извличане на информация за целевата организация. Резултатите от търсенето могат да включват информация за служителите на целевата организация, интранет, страници за вход и друга информация, която може да бъде полезна за нападателите.

Един от начините за събиране на информация с помощта на търсачките е чрез използване на техники за хакерство в Google.


Google хакерството е техника, която нападателите използват, за да извършат комплексно търсене и да извлекат важна информация за своите цели. Включва използването на набор от оператори за търсене и изграждане на сложни заявки. Операторите, които се използват при хакване на Google, се наричат ​​dorks.

Whois, IP геолокация и DNS разпит

Кой е

Whois се отнася до протокол за заявки и отговори, който се използва за извличане на информация за зададени интернет ресурси.

Базите данни Whois съдържат лична информация на собствениците на домейни и се поддържат от Регионалните интернет регистри.

Съществуват два типа модели на данни:


  • Дебел Whois
  • Тънък whois

Дебел Whois съдържа цялата информация от всички регистратори за посочения набор от данни. Тънкият Whois съдържа ограничена информация за посочения набор от данни.

Резултатите от заявки за Whois обикновено включват:

  • Подробности за домейна
  • Подробности за собственика на домейна
  • Домейн сървър
  • Нетен обхват
  • Изтичане на домейна
  • Дати на създаване и последна актуализация

Регионалните регистри в Интернет, които поддържат базите данни whois, включват:

  • ARIN (Американски регистър за интернет номера)
  • AFRINIC (Африкански мрежов информационен център)
  • APNIC (Азиатско-тихоокеански мрежов информационен център)
  • RIPE (Reseaux IP Europeens Network Coordination Center)
  • LACNIC (Латиноамерикански и карибски мрежов информационен център)

IP геолокация

Геолокацията на IP помага да се намери информация за местоположението за цел, като държава, град, пощенски код, ISP и т.н. С тази информация хакерите могат да извършват атаки за социално инженерство върху целта.


DNS разпит

DNS отпечатък се отнася до събиране на информация за данни на DNS зони, което включва информация за ключови хостове в мрежата.

DNS инструментите за разпит помагат на нападателите да извършват DNS отпечатъци. Използвайки тези инструменти, нападателите могат да получат информация за типовете сървъри и техните местоположения.

Отпечатване по имейл

Отпечатването на имейл се отнася до събиране на информация от имейли чрез наблюдение на доставката на имейли и проверка на заглавията.

Информацията, събрана чрез отпечатване на имейл, включва:

  • IP адрес на получателя
  • Геолокация на получателя
  • Информация за доставка
  • Посетени връзки
  • Информация за браузъра и операционната система
  • Време за четене

Заглавията на имейлите съдържат информация за подателя, темата и получателя. Цялата тази информация е ценна за хакерите, когато планират да атакуват целта си.

Информацията, съдържаща се в заглавията на имейли, включва:

  • Име на изпращател
  • IP / имейл адрес на подателя
  • Пощенски сървър
  • Система за удостоверяване на пощенския сървър
  • Печат за изпращане и доставка
  • Уникален номер на съобщението

Също така е възможно да проследявате имейли с помощта на различни инструменти за проследяване. Инструментите за проследяване на имейли имат способността да проследяват имейли и да проверяват заглавията им, за да извлекат полезна информация. Подателят се уведомява за изпратеното имейл и се отваря от получателя.

Отпечатване на уебсайтове

Отпечатването на уебсайта е техника, при която информацията за целта се събира чрез наблюдение на уебсайта на целта. Хакерите могат да картографират целия уебсайт на целта, без да бъдат забелязани.

Отпечатването на уебсайта дава информация за:

  • Софтуер
  • Операционна система
  • Поддиректории
  • Информация за връзка
  • Платформа за скриптове
  • Подробности за заявката

Чрез изследване на заглавията на уебсайта е възможно да се получи информация за следните заглавки:

  • Тип съдържание
  • Приемане-диапазони
  • Състояние на връзката
  • Последна промяна на информацията
  • X-захранвана информация
  • Информация за уеб сървъра

Допълнителни начини за събиране на информация е чрез HTML изходен код и проверка на бисквитките. Чрез изследване на HTML изходния код е възможно да се извлече информация от коментарите в кода, както и да се получи представа за структурата на файловата система, като се наблюдават връзките и маркерите на изображенията.

Бисквитките също могат да разкрият важна информация за софтуера, който се изпълнява на сървъра, и неговото поведение. Също така, чрез инспектиране на сесиите, е възможно да се идентифицират платформите за скриптове.

Има програми, предназначени да помогнат при отпечатването на уебсайтове. Тези програми се наричат ​​уеб паяци и те методично разглеждат уебсайт в търсене на конкретна информация. Информацията, събрана по този начин, може да помогне на нападателите да извършват атаки за социално инженерство.

Клониране на уебсайтове

Огледално копиране на уебсайт или клониране на уебсайт се отнася до процеса на дублиране на уебсайт. Отразяването на уебсайт помага при разглеждането на сайта офлайн, търсенето на уязвимости в уебсайта и откриването на ценна информация.

Уебсайтовете могат да съхраняват документи от различен формат, които от своя страна могат да съдържат скрита информация и метаданни, които могат да бъдат анализирани и използвани при извършване на атака. Тези метаданни могат да бъдат извлечени с помощта на различни инструменти за извличане на метаданни, както и да помогнат на нападателите да извършат атаки за социално инженерство.

Мрежов отпечатък

Мрежовият отпечатък се отнася до процеса на събиране на информация за целевата мрежа. По време на този процес нападателите събират информация за обхвата на мрежата и я използват за картографиране на мрежата на целта.

Обхватът на мрежата дава на хакерите представа за това как е структурирана мрежата и кои машини принадлежат към мрежата.

Nmap

Nmap е инструмент, използван за откриване на мрежа. Той използва сурови IP пакети, за да определи наличните хостове в мрежата, услугите, предлагани от тези хостове, операционните системи, които те изпълняват, използваните типове защитни стени и други важни характеристики.

Функциите на Nmap включват възможността за сканиране на големи мрежи, както и картографиране на мрежи.

Traceroute

Програмите Traceroute се използват за откриване на маршрутизатори, които са по пътя към целевия хост. Тази информация помага при извършване на атаки човек-в-средата и други свързани атаки.

Traceroute използва протокола ICMP и полето TTL в IP заглавката, за да открие маршрута. Той записва IP адреси и DNS имена на откритите рутери.

Резултатите от трасето помагат на нападателите да събират информация за мрежовата топология, надеждни рутери, както и местоположенията на защитната стена. Те могат да използват това, за да създават мрежови диаграми и да планират своите атаки.



Отпечатъчни мерки за противодействие

Някои от мерките за отпечатък включват:

  • Ограничаване на достъпа до социални медии
  • Прилагане на политики за сигурност
  • Обучение на служителите относно заплахите за сигурността
  • Криптиране на чувствителна информация
  • Деактивиране на протоколи, които не са необходими
  • Правилна конфигурация на услугата


Отчети за отпечатъци

Отчетите за отпечатъци трябва да включват подробности за извършените тестове, използваните техники и резултатите от тестовете. Той също така трябва да включва списък на уязвимости и как те могат да бъдат отстранени. Тези доклади трябва да се пазят като поверителни, за да не попаднат в грешни ръце.