공개 출처 정보 수집(OSINT)
공개 출처 정보 수집(Open Source INTelligence)
목표
-소유자가 자신에게 권한을 부여하지 않은 컴퓨터 시스템에 접근하는 공격을 수행하는 데 도움이 될 정보를 획득하는 것
수동적인 활동
-유효한 공격 대상 또는 시스템을 식별하거나, 소프트웨어 종류 및 버전을 수집하거나, 테스트의 이후 단계들에서 활용할 수 있는 관련 인물 파악하는 것
찾아내야 할 핵심적인 정보(=해당 컴퓨터 시스템과 소프트웨어에 대한 통찰을 얻는 데 유용한 정보들)
- 사용자 이름, 프로필 이름 및 이메일 주소
- 패스워드
- 도메인 이름
- 호스트 이름
- IP 주소(외부/내부)
- software, OS version/name/종류
- 시스템 사용자 가이드 같은 기술 문서
공개 출처 정보를 찾을 수 있는 장소
- 개인 웹사이트
- 검색엔진
- SNS
- 공공 데이터 베이스(ICANN, 무선 통신 업체, 도메인 이름 등록 업체 등)
- P2P 파일 공유 네트워크
OSINT 도구
- 검색 엔진
- Goog-mail.py
- 공개 데이터베이스의 API
- Recon-ng
- TheHarvester
- Metagoofil
- FOCA
- Exiftool
- Maltego CE
- LinkedInt
- Shodan
- Dig, Host, NSlookup, WHOIS 같은 DNS 도구
1. goog-mail.py 실행
wget을 사용해서 goog-mail.py를 다운 받고 python2 goog-mail.py 원하는 도메인 이름을 작성하면 구글의 검색 결과를 반환해준다.
백신회사로 유명한 안랩을 작성했더니 visit@ahnlab.com과 last@ahnlab.com의 결과가 나왔다.
2. google dorking
검색어를 교묘하게 설정해 구글이 민감한 정보를 드러내게 하는 것이다.
inurl:/etc/passwd root:x:0:0:root:/root:/bin/bashinurl: URL에 /etc/passwd가 포함된 웹 페이지들만 검색 결과에 포함
root:x:0:0:root:/root:/bin/bash는 실질적인 검색어로 /etc/passwd에 포함된 내용임
※위 검색 결과로 나온 페이지는 클릭하지 마세요, 불법 행위로 간주될 수 있습니다.
3. GHDB(google hacking database)
구글 검색어들을 모은 데이터베이스
https://www.exploit-db.com/google-hacking-database
Offensive Security’s Exploit Database Archive
www.exploit-db.com
4. HIBP(Have I Been Pwned)
Have I Been Pwned: Check if your email has been compromised in a data breach
Have I Been Pwned allows you to search across multiple data breaches to see if your email address or phone number has been compromised.
haveibeenpwned.com
이 사이트에서 내가 사용하는 이메일이나 핸드폰이 유출된 적이 있는지 점검할 수 있음
5. Recon-ng
LaNMaSteR53이 개발한 명령줄 인터페이스로 다양한 기능에 접근할 수 있는 모듈 기반 프레임워크
6. theHarvester
7. 문서 메타데이터
파일에는 실제 내용 외에도 메타데이터가 포함되어 있음
예를 들어 사진 이미지 파일들의 메타데이터안에는 카메라의 세부사항, 원본 섬네일, 소프트웨어 종류 및 버전 정보와 사진을 찍은 날짜 및 GPS 좌표도 포함됨
OSINT방어
인터넷에 공개되거나 유출된 정보를 다시 주워 담아서 감추는 것은 어렵다. -> 임직원이 공개하는 정보에 주의를 기울이고 관리하는 것 뿐
*multi factor authentication MFA를 활성화해야함