Bu nedenle, bir müşterinin internete bakan sistemlerine giriş testi yapmakla görevlendirilmiş bulunmaktasınız. Güvenlik değerlendirmesi yakında sona ermektedir ve zaman içerisinde tüm bunlara rağmen, müşterinin ağları ve sistemleri ve ayrıca saldırı hedefleri hakkında bilgi edinmek için makul bir çözüm bulmak zorundasınız. İlk adım her zaman olabildiğince fazla bilgi toplamaktır, ancak bu işlem biraz zaman alabilir. Modası geçmiş komut satırı yöntemlerini kullanmaktan kaçınmak istiyorsanız, çok sayıda çözüm vardır. Uzun yıllar boyunca, uzmanlar penetrasyon testlerinde son derece hızlı ve güvenilir olduklarını kanıtlayan OSINT tabanlı araç ve hizmetlere yöneldiler. Bu makalede, OSINT'in ne olduğuna dair genel bir bakış sunacağız ve penetrasyon testlerinde yaygın olarak kullanılan araçlardan bazılarını listeleyeceğiz. Açık Kaynak İstihbarat Nedir? Açık kaynaklı istihbarat veya OSINT terimi, 1980'lerin sonunda ABD ordusu tarafından icat edildi. Bilginin dinamik doğasıyla, özellikle savaş alanlarında taktiksel düzeyde başa çıkabilmek için istihbarat reformunun gerekli olduğunu savundular. OSINT kavramı o zamandan beri farklı alanlara geçti ve şimdi yaygın olarak siber güvenlik alanında kullanılıyor. Açık kaynaklı istihbarat, halka açık kaynaklardan, çoğunlukla internet üzerinden toplanan bilgiler olarak tanımlanmaktadır. Bu terim internet bilgisi anlamına gelmez, çünkü halka açık bir kütüphane kitabından alınan bilgiler OSINT olarak da görülebilir (bir kütüphane halka açık bir kaynaktır). Güvenlik uzmanlarının günlük kullandığı bazı OSINT araçlarını inceleyeceğiz.
Spyse
Spyse , siber güvenlik alanında yeni bir gelişmedir. Bu arama motoru, OSINT teknolojisini kullanarak, ısmarlama algoritmalarla karıştırılarak veri toplamak için interneti her birkaç günde bir tarar. Bu verileri Spyse veritabanında depolarlar ve kullanıcılar için anında kullanılabilir hale getirirler. Bu, bilgi toplama için zaman alıcı olabilen komut satırı yöntemlerini kullanma gereksinimini azaltır. Spyse hakkında bilgi sağlar: -IPv4 (Açık portlar, afişler, protokoller, ISS vb.) -DNS kayıtları -Dominler ve alt alanlar (web'deki en büyük alt alan veritabanı) -Dijital sertifika bilgileri Otomatik Sistemler (Sayı, IPv4 / IPv6 aralıkları, WHOIS verileri…) Google Dorks Google Dorks, bir dakikadan beri, 2002 yılına kadar kullanan uzmanlar ile birlikte olmuştur. Dorks'ın esnekliği onu alandaki en çok kullanılan araçlardan biri haline getiriyor ve bu sürecin kendi takma adı bile var - Google Hacking. Bilgi aramayı çok daha hızlı yapan operatörleri kullanır. Servisin sağladığı bazı operatörler ve indeksleme seçenekleri: -Filetype: öncelikle dosya türlerini bulmak veya belirli bir dizgiyi aramak için kullanılan bir işlemdir; -Intext: belirli bir sayfada metin bulmak için kullanılan bir indeksleme seçeneği; -Ext: Bir dosyada belirli bir uzantı aramak için kullanılır; -Inurl: bir URL’de belirli bir dize veya kelime bulmak için kullanılır; -Intitle: URL’de belirtilen kelimeler için bir başlık arayın;
The Harvester
Uzmanlar, e-posta hesaplarının yanı sıra alt alan adlarının, sanal ana makinelerin, açık bağlantı noktalarının ve afişlerin ve çalışan adlarının adlarını toplamak için Harvester'ı kullanır . Tüm bu bilgiler, arama motorları ve PGP anahtar sunucuları gibi kamu kaynaklarından toplanmaktadır.
Recon-Ng
Pentesters arasında popüler olan bir diğer araç ise Recon-ng'dir. Bu, Metasploit'e benzer bir arayüze sahip başka bir temiz keşif aracıdır. Recon-ng komutunu, sizi kabuk benzeri bir ortama yerleştiren komut satırından çalıştırabilirsiniz. Burada seçenekleri düzenleyebilir, keşif gerçekleştirebilir ve sonuçları çeşitli rapor türlerine gönderebilirsiniz. Komut tamamlama ve bağlamsal yardım gibi temiz özelliklerle dolu etkileşimli bir konsola sahiptirler. SpiderFoot
Linux ve Windows kullanıcıları için SpiderFoot'u öneririz. Bu Python ile geliştirilen başka bir yüksek yapılandırmalı açık kaynak keşif aracıdır. Kolayca bütünleştirilebilir, etkileşimli GUI ve güçlü bir komut satırı arayüzü SpiderFoot'u penterler için bir go-tool yapar. Araç akıllıca 100'den fazla OSINT kaynağını sorgular ve e-postalar, adlar, IP adresleri, alan adları ve daha fazlası hakkında bilgi toplar. Ayrıca, netbloklar, e-postalar, web sunucuları, vb. Tek bir hedef hakkında daha kapsamlı bilgiler bulabilir. SpiderFoot, verilerin test uzmanları için iş akışını çok daha kolay hale getirerek, birbirleriyle nasıl ilişkili olduğunu da anlar. ürpertici Bu açık kaynaklı istihbarat aracı, sosyal ağ platformları ve görüntü barındırma siteleri kullanarak coğrafi konum hakkında bilgi toplar. Oldukça ürpertici, değil mi? Raporlar, aşağıda gösterildiği gibi bir harita üzerinde sunulmaktadır ve verileri yere ve tarihe göre filtreleyebilirsiniz. Raporlar daha fazla çalışmak için CSV veya KML formatında indirilebilir. Creepy bir python yazılı araçtır ve Debian, Backtrack, Ubuntu ve Microsoft Windows gibi Linux dağıtımları için paketlenmiş bir ikili dosya ile birlikte gelir. Sonuç Bir profesyonel gibi keşif toplantısı yapmak istiyorsanız, kesinlikle OSINT'in kurumları ve ağları incelemeyi ve altyapıların nasıl işlediğini anlamayı kolaylaştırdığı için bu aletlerin kemerinizin altında olması gerekir. Bu araçlar yalnızca keşif için kullanışlı değildir, ancak ağınızı potansiyel tehditlerden korumak için de kullanılabilir. Bir hata ödülü kazanmış olsanız da veya yalnızca ağ güvenliğinizi korumaya çalışıyorsanız - bu araçları her zaman kullanıma hazır hale getirmelisiniz.
- Google, kısa bir süre önce Gmail dinamik e-posta özelliğini etkileyen ciddi bir XSS güvenlik açığı oluşturdu. Araştırmacı, bu güvenlik açığını DOM Clobbering'in gerçek dünyadan sömürülmesi olarak kabul etti. Gmail Dinamik E-posta Özelliğinde XSS Güvenlik Açığı Bir blog yazısında , güvenlik araştırmacısı Michał Bentkowski, Gmail’de keşfedilen bir XSS güvenlik açığı konusundaki keşfini paylaştı. Kusur, Gmail’in AMP4Email özelliğinde meydana geldi . ' Dinamik Posta ' olarak da bilinen bu özellik, temel olarak, iş parçacıkları veya olaylar gibi e-postalardaki dinamik HTML içeriğinin görüntülenmesini kolaylaştırır. Yine de Google, bu özelliği XSS saldırılarını önleyecek kadar güçlü hale getirmiştir. Dinamik postalar için etiketler ve öznitelikler için beyaz liste kullanır. Bu nedenle, saldırganın doğrulayıcıdan açıkça izin almadan herhangi bir HTML öğesini tanıtması kolay değildir. Ancak, araştırmacı doğrulayıcının id niteliğini etiketlere izin vermedi. Bu nedenle, bu özelliği ile DOM Clobbering'e yol açacak şekilde karışabilir. DOM Clobbering hakkında Araştırmacı bu konuyu açıklayarak, Temel olarak, HTML'de bir öğe oluşturduğunuzda (örneğin
- ) ve ardından JavaScript'ten başvurmak istediğinizde, genellikle document.getElementById ('username') veya document.querySelector ( '#Kullanıcı adı'). Ama bunlar tek yol değil! Eski yöntem, ona yalnızca global pencere nesnesinin bir özelliği üzerinden erişmektir. Yani window.username bu durumda document.getElementById ('username') ile tamamen aynıdır! Bu davranış (DOM Cloberring olarak bilinir), eğer uygulama belirli global değişkenlerin varlığına dayanarak kararlar verirse ilginç güvenlik açıklarına yol açabilir (hayal:: if (window.isAdmin) {…}). DOM Clobbering Ve AMP4Email AMP4Email'in bazı id nitelik değerlerini kısıtladığını fark etmesine rağmen, AMP_MODE içindeki DOM Clobbering'e karşı savunmasız kaldı. İşte güvenlik açığını değerlendirmek için kodu hazırlarken fark ettiği şey. AMP4Email belirli JS dosyasını yüklemeye çalışıyor ve 404 yüzünden bunu başaramıyor. Özellikle göz alıcı olan, URL’nin ortasında tanımsız olduğu gerçeği… AMP, AMP_MODE’nin bir özelliğini koymaya çalıştığını gösteriyor. URL. DOM Clobbering nedeniyle, beklenen özellik eksik, bu nedenle tanımsız. Böylece tanımsız etiket nedeniyle, araştırmacının URL’nin tamamını kontrol etmesi mümkün oldu. Yama Yerleştirildi Hatayı bulduktan sonra, Ağustos’taki Google Güvenlik Açığı Ödül Programı aracılığıyla Google’a bildirmiştir. Google derhal keşfini kabul etti ve hatayı onayladı. Kısa bir süre sonra, Google 'müthiş' dedikleri hatayı düzeltti. Exploit detayları burada bulabilirsiniz.
- Finansal kötü amaçlı yazılımlar para ve finansal verileri çalmanın yanı sıra tehdit aktörlerinin hem kullanıcıların hem de finans kuruluşlarının varlıklarına ve bilgisayar sistemlerine erişmelerini sağlamayı amaçlıyor.
Bunun gibi tehditler her zaman tehdit ortamının önemli bir bölümünü tek başına kaplıyor çünkü dolandırıcılar ve siber suçlular için finans, büyük bir motivasyon kaynağı. Dahası, finansla bağlantılı kötü amaçlı yazılımlara dair Kaspersky’nin elindeki veri kümeleri de finansal kapsamlı saldırılarla motive olan siber suçluların, özellikle de kurumsal çevreler söz konusu olduğunda, sürekli olarak gelişim gösterdiğini kanıtlar nitelikte.
Bu tür kötü amaçlı yazılımların tipik saldırı vektörleri spam e-postaları ve kimlik avı web siteleri oluyor. İkincisi genelde meşru bir web sitesiymiş gibi görünmekle birlikte gerçekte, banka kartı ayrıntılarını, kişisel bilgileri ve benzeri diğer hassas verileri çalma amaçlı olarak tehdit aktörleri tarafından oluşturuluyor. Kaspersky araştırmacıları, kimlik avı saldırılarında çarpıcı bir yükseliş olduğunu keşfetti: 2019’un ilk üç çeyreğinde bu saldırıların sayısı 3 milyonu aşarak 2018’in aynı dönemine kıyasla yüzde 40 artış gösterdi.
Kimlik avı saldırılarını ifade eden rakamlar yükselişteyken Türkiye’de finansal kötü amaçlı yazılımlardan etkilenen kullanıcıların oranında ise düşüş görülüyor: 2019’un ilk çeyreğiyle üçüncü çeyreği kıyaslandığında bu tehditle karşılaşan kullanıcıların oranında yüzde 34’lük bir düşüş yaşandığı dikkat çekiyor. Bu durum, bankacılık trojanlarının daha kârlı olduğu anlaşılan diğer siber suç araçları tarafından geri plana itildiği gerçeğiyle açıklanabilir. Fidye yazılımları, kripto-madenciler ve parola hırsızları, siber suçlular arasında gün geçtikçe daha da popülerleşen bu araçlar arasında sayılıyor.
Daha elverişli bir ortam sunması sayesinde mobil platformlar siber suçlular için tercih sebebi olduğundan, finansal tehditlerin kurbanı sıklıkla mobil kullanıcılar oluyor. 2019’un başlarında finansal kötü amaçlı yazılımlarda ilk 10’da yer alan Android bankacılık trojanı Asacub eylemlerinin, son aylarda hız kestiği dikkat çekiyor. Kaspersky’nin ölçümlerine göre, geçen yılın aynı dönemine kıyasla Türkiye’de 2019’un ilk üç çeyreğinde mobil finansal saldırıların sayısının yüzde 29 azaldığı da görülüyor.
Finansal kötü amaçlı yazılım programları her yıl giderek daha karmaşık hale geliyor. Siber suç faaliyetlerinin değişim ve gelişimini ifade eden en dikkat çekici eylem, Kaspersky tarafından 2015 yılında keşfedilen ve tanıtılan Carbanak oldu. Carbanak, siber suçluların doğrudan bankalardan para çalmaya başladığı ve son kullanıcıyı hedeflemekten kaçındığı yeni bir ölçütü temsil ediyordu.
Carbanak siber suç çetesi, hedef odaklı saldırılar veya gelişmiş kalıcı tehditlerle elde ettiği teknikleri, para çalmadaki başarılarını koruyabilmek için kullandı. Daha fazla bilgi edinmek ve Carbanak grubunu yakalamak için verilen mücadeleyi anlatan belgeseli Türkçe olarak izlemek için burayı ziyaret edebilirsiniz.
