domingo, 20 de abril de 2014

Analizando objetivos sin hacer ruido

Al igual que lo haría un ciberdelincuente, el primer objetivo antes de un ataque es la recopilación de información para conocer más a fondo nuestro objetivo. Se pueden utilizar diferentes técnicas, desde un simple escaneo de puertos a una dirección IP mediante NMap (búsqueda activa), hasta una simple búsqueda a través del servicio Whois para obtener información gracias a un tercero (búsqueda pasiva).

Tenemos que ser capaces de ponernos en la piel del atacante y actuar al igual que lo haría él, sin conocimiento alguno del objetivo (pruebas de caja negra). Lo más importante es no dejar rastro a la hora de llevar a cabo el descubrimiento de vulnerabilidades, para lo cual podríamos usar algún sistema de proxys como Proxy Chains o la la famosa red Tor, en próximas entradas nos centraremos en ello.

Nosotros nos vamos a centrar en la utilización de varias páginas y servicios de Internet que nos ofrecen gran cantidad de información de nuestros objetivos, lo que se conoce como búsqueda pasiva de información. Las páginas a usar son las siguientes y vamos a explicar que información podemos sacar de cada una:

WHOIS.NET - Obteniedo info de un dominio

Mediante el protocolo whois podemos descubrir mucha información de cualquier dominio simplemente buscamos una Web la cual nos de servicio de dicho protocolo y este accederá a una base de datos de los servidores whois para obtener información como el propietario del dominio, nombre del administrador, correo, etc.


Aquí podéis ver los resultados de la búsqueda y la cantidad de datos que obtenemos:



URLQUERY.NET - Analizando posible malware en un dominio

Urlquery es una Web que nos da servicio para analizar y detectar posible malware en un determinado dominio Web, además de obtener información de dicho dominio como su IP, su ASN (ISP), la ubicación, etc.


Podemos ver en la página principal como aparecen las últimas búsquedas y cuales han sido sus resultados en cuanto a Sistemas de Detección de Intrusos (IDS - Intrusion Detection Systems) y Listas Negras (BL - Black List)

Una vez que hacemos la búsqueda podemos comprobar si algunos de los script antimalware que se les han pasado a la Web han detectado algo, así como IDS que hacen saltar las alarmas, también si la Web ha estado en alguna lista negra, etc.

Aquí podéis ver parte de los resultados de la búsqueda:


SHODAN - Buscando dispositivos

Shodan es un buscador de dispositivos según el software que utiliza, la geografía, el sistema operativo, la dirección IP y más. Lo primero que debemos hacer es darnos de alta, que es gratuito, y así nos devolverá muchos más resultados de las búsquedas.

Para buscar un dispositivo en la casilla de búsqueda podemos poner un dominio, una ip, una palabra en concreto e incluso usar operadores como city, country, geo, hostname, etc. Vamos a hacer una búsqueda sencilla, dispositivos cisco de españa:



Podemos buscar por palabras concretas sobre un cierto software o servicio como Apache o ip camera, o una cierta marca de router Zyxel, o por un cierto modelo de decodificador de satélite dreambox. Si Shodan lo tiene en su base de datos, nos lo mostrará.

NETCRAFT.COM - Información de dominios

Netcraft proporciona servicios de seguridad de Internet, nos facilita informacion de dominios y subdominios, si un dominio ha estado en alguna lista negra, la configuración que usan, el histórico de versiones, el sistema operativo utilizado, etc.

Vamos a llevar a cabo una búsqueda de un dominio y veremos los resultados obtenidos.

Nos salen los dominios y subdominios asociados, junto con otra información.


Ahora pulsamos en Informe del Sitio del sitio principal y obtendremos bastante información como: dirección IP, ubicación, servidores DNS, si ha estado en alguna black list, versión del servidor Web, si tiene o no activado PHP, etc. Para poder ver esa información pulsar aquí.

ARCHIVE.ORG - Ver historiales de sitios Web

Internet Archive es un sitio Web donde podemos encontrar los historiales de los sitios Web más visitados. A continuación vemos los resultados de una búsqueda para uno de estos sitios.



Así si un sitio Web ha eliminado cierta información que no podemos encontrar ya, haciendo uso de archive.org nos podemos ir a la fecha que si estaba publicada y verla.


Existe también una herramienta muy útil dentro de Kali Linux que hace uso tanto de búsqueda pasiva como de búsqueda activa para obtener información de dominios, se llama theHarvester, os dejo un enlace donde encontrar información: https://code.google.com/p/theharvester/

Además de todas estas Web de búsqueda pasiva haciendo uso de terceros, existen muchas otras, de tal forma que no tengamos que hacer ningún ruido para nuestra primera fase de una auditoria de seguridad, que no es sino la búsqueda de información.

Espero que os sea de utilidad !!

@eduSatoe

"Nunca releo mis libros, porque me da miedo." 
Gabriel García Márquez

No hay comentarios:

Publicar un comentario