Transcription
Open Source INTelligence(OSINT)“JamesBond 3.0 : à qui profitera le(s)renseignement(s) ?”par Franck Desert
About-FD11 ans8 ans-Bientôt Canadien8 ans- Senior Threat Intelligence Analyst- Senior Technical Architect7 ans8 ans
Slackdiscussion avec la communautéhttp://bit.ly/HFSlack
GET INVOLVEDinfo@hackfest.ca
Get-Definition?OSInt / Recon / Google Hacking / Social-Engineering, etc.Recon - Définition militaire (Larousse)« Reconnaissance : recueil de renseignements d'ordre tactique ou stratégique, sur le terrain ou sur l'ennemi, nécessaires à l'évaluation des situations et àl'action des forces armées »Recon – Hacking« Reconnaissance Hacking : Art d’analyser et de découvrir les points d’entrée pour définir la surface d’attaque de la cible, d’être tout de même capable d’yentrer. »Recon – ObjectifsObtenir une liste d’éléments pour construire une attaque ou de « cibler» les tests de sécurité sur les points d’entrée les plus à risque d’être vulnérables.Avoir une liste d’informations de l’entreprise et/ou de ses employés pour effectuer du phishing, de l’ingénierie sociale ou une attaque physique.Obtenir les données pour les attaques physiques telles que les maps, les photos des badges, photos des bâtiments, etc.Media: print newspapers, magazines, radio, and television from across and between countries.Internet: online publications, blogs, discussion groups, citizen media (i.e. – cell phone videos, and user created content), YouTube, and other social media websites (i.e. –Facebook, Twitter, Instagram, etc.). This source also outpaces a variety of other sources due to its timeliness and ease of access.Public Government Data: public government reports, budgets, hearings, telephone directories, press conferences, websites, and speeches. Although this source comesfrom an official source they are publicly accessible and may be used openly and freely.Professional and Academic Publications: information acquired from journals, conferences, symposia, academic papers, dissertations, and theses.Commercial Data: commercial imagery, financial and industrial assessments, and databases.Grey Literature: technical reports, preprints, patents, working papers, business documents, unpublished works, and newsletters.OSINT is distinguished from research in that it applies the process of intelligence to create tailored knowledge supportive of a specific decision by a specific individual orgroup
CultureLa culture d'une organisation peut la rendre plus ou moins susceptible d'être ciblée parles cybercriminels. Les deux facteurs clés: les opinions culturelles sur le paiement contrele non-paiement et l'appétit général pour le risque de l'organisation. Certainesorganisations ont peur de divulguer publiquement une infraction ou ne sont toutsimplement pas intéressées par un «combat» public. Des organisations très privées et àrisque peuvent représenter de bons candidats pour une attaque de type RDoS ourançongiciel. La culture, qui n'hésite pas à envoyer des fonds pour «faire disparaître»,gagne souvent sa réputation en tant que telle.Cela peut entraîner de nouvelles attaques d'autres groupes cybercriminels. ement, il doit y avoir certains actifs numériques - affaires ou données personnelles,interface ou Communication - qui est essentiel à la vie d'un individu ou les opérationsd'une organisation Ces actifs numériques sont ce que les criminels tenteront de prendreen otage.VulnérabilitéLes cybercriminels ont besoin d'un moyen de verrouiller les actifs, les rendantindisponibles pour les utilisateurs. En général, ils peuvent le faire de deux manièresprincipales: soit en chiffrant des données à un certain niveau, soit en refusant l'accès enprenant en otage un élément de la chaîne de fourniture de technologie de l'information.Quoi qu'il en soit, les criminels doivent repérer une vulnérabilité clé, comme un exploit ouune hypothèse d'ingénierie laissée sans protection. Idéalement, les cybercriminelschercheront des vulnérabilités qui sont présentes dans un grand nombre d'organisations.Ces vulnérabilités peuvent être très lucratives, donnant aux criminels la capacité destandardiser une technique et de la répéter à grande échelle.ExpertiseStrictement parlant, les criminels ne recherchent pas d'expertise; ils cherchent unmanque de celui-ci. Ils sont plus susceptibles de se concentrer sur les organisations oules personnes qui n'ont pas les ressources pour embaucher des professionnels; ceux quiont des investissements modestes ou modestes dans le soutien à la sécuritéinformatique; et ceux qui manquent de connaissances sur les techniques de cyberrançon? et comment mieux répondre?
7
8
Mot de passeSystème“Warningpoint2”9
10
14
16
17
Get-FutureMad
Get-FutureMad
James Bond Attack Mise en scène d’un scénario d’attaque Recherche sur les média sociaux / maltego pour trouver des employés (limiter les informations accessibles sur internet)Scan de la carte rfid et replay (protéger la carte rfid des regarde malveillant)Installation d’un keyloggerDifférence entre attaques opportunistes, attaques ciblées et d’attaques persistantes avancées Adresser des attaques opportunistes et ciblée mais avancéesExfiltration avec l’ordinateur à côtéRisques liés à l’intégration de device USB Update PhotocopieursGadgets (Vapoteuse, Gadget USB, think geek)Prises, Powerbar, Nano-CamInfiltration physiqueLe « social engineering » Exploitation du lien de /www.spvm.qc.ca/en/Fiches/Details/Business-fraud) Social Network,Données Publiques 22
Avez-vous déjà été PWNED ?23
Outils de gestion ww.trustedsec.com/social-engineer-toolkit (SET)24
Obtenir accès physique25
Vecteurs d’infections – Appareils sans filsPlusieurs périphériques sans fils ne protègentaucunement leur communications :Un téléphone cellulaire infecté par uneapplication ayant accès au Bluetooth peut :1. Capturer les touches tapées ;2. Se faire passer pour votre clavier sans fil.26
Vecteurs d’infections – Appareils USB C’est un rubber ducky et ça permet desimuler des touches sur un clavier. On croit avoir une clef de stockage USBmais c’est un clavier automatique. L’avantage c’est que l’on peut transférerdes données sur un ordi sans que ça soitvu par l’anti-virus car ce n’est pas unfichier qui est transféré.27
Dans quel contexte sommes nous ?Permet d’obtenir de l’intelligence sur la cibleDéfinir la zone d’impact et d’attaqueListe de sites WebURLS (entry rd-PartyEtc.IPsNetworksDomainesSubDomainsEntry pointsGETPOSTCookiesAPIServicesType d’informationsUsernameServer ataDonnées à propos desdonnéesType de fichiersDoc / Docx / Xls / XlsxPDFJpg, png, etc.Mp3, wav, etc.28
Types de Recon et les objectifsRecon - DNSObjectifs: Découvrir une surface d’attaque plus grande. Permet de trouver des systèmes et sites Web souvent mis à jour.Recon - WebObjectifs: Découvrir des fichiers cachés et malheureusement « uploadés » parl’équipe de mise en production. Permet de découvrir des données sensibles ouutiles.Recon – MetaDataObjectifs: Permet de découvrir des données cachées dans lesmétadonnées des fichiers publiés publiquement sur Internet.Recon – CMSObjectifs: Déterminer la version du CMS en place et vérifiersi des vulnérabilités y sont présentes.Recon - SSL/TLSObjectifs: Déterminer les fonctions de chiffrement en placeet leur niveau de sécurité.Recon - Robots.txtMal : https://xxxx.gouv.qc.ca/robots.txtBien : http://www.canada411.ca/robots.txtObjectifs: Permet sans grand effort de découvrirdes endroits qu’on ne devrait surtout pas analyser ;) !29Moyen : : *Disallow: /typo3/Allow: /fileadmin/documents/Disallow: /fileadmin/Disallow: /uploads/
30
Google Dork et « Engine Search Dork»OperatorsDescriptionsite:Restrict results to only one domain, or serverinurl:/allinurl:All terms must appear in URLintitle:/allintitle:All terms must appear in titlecache:Display Google’s cache of a pageext:/filetype:Return files with a given extension/file typeinfo:Convenient way to get to other information about a pagelink:Find pages that link to the given pageinanchor:Page is linked to by someone using the term-Inverse search operator (hide results) synonyms[#].[#]Number range*Wildcard to put something between something when searching with“quotes” Used to force stop wordsORBoolean operator, must be uppercase Same as OR31
Oneliner DORKSite:(.qc.ca) intitle:"index.of" ext:(doc pdf xls txt ps rtf odt sxw psw ppt pps xml) (intext:facture intext:"client")site:(.ca) intitle:"index.of" ext:(doc pdf xls txt ps rtf odt sxw psw ppt pps xml) (intext:facture intext:"client")
90 xPastes existants dont certains sont mewepaste.comwklej.se
Github et les autres sont aussi vos amis!Hack-with-Github/Awesome-Hacking34
Obtenir accès au réseau35
Exfiltration36
Vecteurs d’infections – Appareils USBUn appareils USB peut avoir un comportementtotalement différent de ce qu’il prétend :Exemple: USB Missile Launcher agissantcomme un malware.37
Vecteurs d’infections – Appareils trafiquésLe chiffrement du disque dur c’est bien contrele vol mais . Toutes les autres composantes de votreordinateur peuvent être remplacés ; Une fois démarré il est possible d’accéderaux données chiffrées.38
Exfiltration de données – Appareils espionIl existe une myriade de travaux pour faire del’exfiltration de données dans un environnement« Air-Gapped » : Émissions électromagnétiques de la cartevidéo, de l’écran, du ventilateur, etc. ; Émissions visuels :Indicateurs LED sur un boîtier d’ordinateur,Système de surveillance vidéo, etc. ; Autres types d’émissions.https://www.youtube.com/watch?v 2OzTWiGl1rM39
Toutes les données publiques – Soyez attentif!40
QUE FAIT-ON!
Anti-social networks Chercher son nom sur Internet pour voir lesinformations accessibles et tenter de leslimiter Renforcer ses paramètres de sécurité et vieprivée des réseaux sociaux Infection de vos appareils par l’intermédiaired’un tiers Obtention d’informations permettant derépondre à vos questions secrètes Obtention d’informations sensibles via votreentourage (nature des mandats et clients,horaire de travail, type de carte d’accès, etc.) Sensibiliser votre entourage proche À adopter de bonnes habitudes d’utilisation d’Internet À limiter les informations qu’ils donnent à des tiers sur votre emploi Au fait qu’ils peuvent être ciblés pour vous atteindre.44
Get-FutureMad
Add-CalendarNovembre 2019Hackfest.caVenez en nombre
Set-Merci Get-Questions ?“Setec Astronomy” estl’anagramme de “too manysecrets”!Un autre moyen de “Reverser”
Open Source Threat Intelligence ToolHarvest and analyze IOCs. AbuseHelper – An open-source framework for receiving and redistributing abusefeeds and threat intel. AlienVault Open Threat Exchange – Share and collaborate in developing ThreatIntelligence. Combine – Tool to gather Threat Intelligence indicators from publicly availablesources. Fileintel – Pull intelligence per file hash. Hostintel – Pull intelligence per host. IntelMQ – A tool for CERTs for processing incident data using a message queue. IOC Editor – A free editor for XML IOC files. ioc writer – Python library for working with OpenIOC objects, from Mandiant. Massive Octo Spice – Previously known as CIF (Collective Intelligence Framework).Aggregates IOCs from various lists. Curated by the CSIRT Gadgets Foundation. MISP – Malware Information Sharing Platform curated by The MISP Project. Pulsedive – Free, community-driven threat intelligence platform collecting IOCs fromopen-source feeds. PyIOCe – A Python OpenIOC editor. RiskIQ – Research, connect, tag and share IPs and domains. (Was PassiveTotal.) threataggregator – Aggregates security threats from a number of sources, includingsome of those listed below in other resources. ThreatCrowd – A search engine for threats, with graphical visualization. ThreatTracker – A Python script to monitor and generate alerts based on IOCsindexed by a set of Google Custom Search Engines. TIQ-test – Data visualization and statistical analysis of Threat Intelligence feeds.
Liens et références – GénéralMenaces et risques Advanced persistent threat (APT) https://en.wikipedia.org/wiki/Advanced persistent threat Cyber attacks targeting DoD contractor, OPM, and U.S. aircraft carrier linked to 7620/ Anonymous hack US Department of Defence – Analysis of the -hack-us-department-of-defence-analysis/ Cyber Attacks on U.S. Companies in 2016 ks-us-companies-2016 Investigation reveals cyberattacks on defense 5dafd96295f0 story.html?utm term .0c2332140fc050
Liens et références – Informations sur InternetOutils de recherche Reference: Advanced Operators for Web ation/advanced-operatorsParamètres de sécurité et vie privée sur les réseaux sociaux Gestion du compte Google : https://myaccount.google.com/ LinkedIn https://www.linkedin.com/psettings/ Facebook https://www.facebook.com/settings51
Liens et références – Attaques contre lesréseaux « air-gapped »Wireless devices hacking Mousejack https://www.mousejack.com/ Radio Hack Steals Keystrokes from Millions of Wireless steals-keystrokes-millions-wireless-keyboards/ How to Hack Bluetooth robot-hack-bluetooth0163586/Hardware tampering Glenn Greenwald: how the NSA tampers with US-made internet snowden China and Cybersecurity: Trojan Chips and U.S.–Chinese lations Lenovo's Superfish security snafu blows up in its face -owners-with-more-than-adware/52
Liens et références – Attaques contre lesréseaux « air-gapped »Techniques d’exfiltration Stealing Data From Computers Using Heat rs-using-heat/Clever Attack Uses the Sound of a Computer’s Fan to Steal es-sound-computers-fan-steal-data/Air-Gap Research Page https://cyber.bgu.ac.il//advanced-cyber/airgap53
Liens et références – Social engineeringConcepts Présentation du principe Need to know https://en.wikipedia.org/wiki/Need to knowPrésentation du social engineering https://en.wikipedia.org/wiki/Social engineering (security)Email spoofing https://en.wikipedia.org/wiki/Email spoofingStratagèmes Fraude de faux président te/articles/fakepresidents.htmlBusiness fraud fraudHackers used luxury hotel Wi-Fi to steal business executive’s data researchers aspersky54
IOC Editor –A free editor for XML IOC files. ioc_writer –Python library for working
