OSINT: Анализ доменов компаний

Анализ сведений домена позволяет добыть массу полезной, а порой, критической информации: начиная от данных владельца и заканчивая внутренними документами компании.

Составление карты доменов: DNSdumpster; Amass

Карта доменов — позволяет вытащить список доменов и поддоменов, сервисы, что запущены на этих доменах (например, веб-сайты, почтовые серверы, FTP и пр.), их IP-адреса, сертификаты SSL и DNS-записи, владельцы (например, из WHOIS).

С картой у вас уже будет информация, какие домены используются на периметре и какие «светятся» наружу. Это инвентаризация и разведка, которая позволяет понять, откуда теоретически можно начать атаковать. DNSdumpster отрисует вам карту доменов и укажет все DNS записи, Amass от него отличается тем, что имеет возможность автоматизировать поиск посредством скриптов и сравнивать результаты от разных дат и выявлять произошедшие изменения.

Анализ истории DNS: dnshistory; completedns

История DNS показывает есть ли у целевого сайта незакрытая брешь, через которую её можно будет атаковать. Например, компания переезжает со старого айпишника на новый, когда встает за сервис DDoS-защиты и забывает убрать и заблокировать старый IP-адрес. Получается, что у компании две «входных двери». В такой ситуации компания может навесить на «парадный вход» WAF и пр., но мы зайдём, как говорится, откуда не ждали, и сможем атаковать через старый IP 👮‍♀️

— Инструменты для проверки истории DNS: dnshistory и completedns. Там все просто: вводите домен и видите, какие записи и адреса менялись. 

Чтобы отследить, что было на домене год, два или пять лет назад, можно использовать сервисы wayback machine и stored.website.

Поиск кода в открытом доступе: GitHub Dorks
Иногда горе-разрабы оставляют в открытых репозиториях приватный ключ к сервису, забывая удалить его из кода. Порой наблюдал, когда ключи от Service Desk оказывались в открытом доступе. 

— Через поиск на Github & Gitlab вы найдете только то, что уже выложено в открытые репозитории, поэтому стоит закинуть запросы в Google. Он покажет, что было открыто на момент индексации, даже если сейчас закрыто.

Вот примеры шаблонов запросов(остальное в ссылке выше):

(site:github.com | site:gitlab.com) "domain"

(site:github.com | site:gitlab.com) "domain" api

(site:github.com | site:gitlab.com) "domain" key.

Поиск утёкших корпоративных учётных записей: HaveIbeenpwned; WhatsMyName Web; Skymem

Не редки случаи, когда сотрудники используют для регистрации корпоративные почты на сторонних ресурсах, а порой ещё и пароли. Для поиска по адресам электронной почты есть — HaveIbeenpwned. Достаточно ввести и подтвердить корпоративный домен, и сервис будет пересылать вам уведомления о корпоративных учетных записях, замеченных в утечках.

— Чтобы понять, кто и где регистрирует свою корпоративную почту, также есть сервис WhatsMyName Web. С его помощью удобно искать рабочие e-mail, зарегистрированные на внешних ресурсах. 

Еще один удобный инструмент — Skymem: он показывает, какие учетные записи зарегистрированы на внешних сервисах. Это особенно важно, когда у компании есть домены только для внутреннего пользования, и аккаунты с этих доменов в принципе не должны использоваться на сторонних ресурсах. 

Продвинутый поиск: DorkSearch; Advangle

На этих сервисах с помощью конструктора можно легко создать «прицельный» запрос для поисковых систем и найти: домены и поддомены, email’ы, пользователей, файлы в открытом доступе или на публичных хранилищах. Можно задавать тонкие запросы и не пролистывать выдачу в десятки страниц. 

Альтернативный инструмент — поисковик с расширенными фильтрами Biznar. Он категоризирует выдачу по параметрам (дата, формат и прочее) и помогает фильтровать все, что нашлось. Из «комбайнов» для комбинированного поиска могу посоветовать рассмотреть metabigor — агрегатор данных из разных источников, утилита бесплатная, нужно только установить и запустить ее для поиска информации. 

Другие статьи выложенные ранее:

• Как сделать и настроить собственный VPN

• Недолго песенка играла, недолго скамер кайфовал: кража 243 млн. $ в BTC и OSINT

• GEOINT по McAfee: пример геопрофилирования и анализа изображения

• Применение OSINT-техник в сферах маркетинга, PR и HR

Ещё больше интересного контента из мира OSINT в Telegram-канале — @secur_researcher