如何反用 OSINT 为防御

  • OSINT 就是这样一种东西,能进攻也能防御

虽然2018年已经结束了,但针对关键基础设施的网络攻击运动没有放缓的迹象。最近,威胁研究人员发现了一项名为“神枪手行动”的全球运动,该运动试图渗透核、国防、能源和金融公司。同样,意大利石油服务公司 Saipem 最近也成为了袭击事件的受害者,这次袭击使数百台服务器和计算机陷入瘫痪。

威胁情报显示,由于攻击者使用网络钓鱼技术 — 也就是社交工程技术 — 危害 IT 企业网络,对关键基础设施领域的组织进行大量攻击。通过访问 IT 环境,IT 和 ICS 环境之间的互连可以允许攻击者在这些网络之间进行遍历。

我们在讲述社交工程时最多强调的是OSINT,也就是侦查作为基础,信息搜集在很大程度上帮助了攻击的有效性。因此对于安防来说,了解攻击者可以获得哪些有关组织的信息非常重要。

OSINT 的一个定义是“来自公共信息的情报 — 量身定制的情报,它基于可以从公共来源合法和道德地获得的信息。”

这些技术允许攻击者被动地利用互联网上可用的信息来开发有关其目标的信息,并在不被注意的情况下改进其攻击方法。就如我们曾经多次演示的那样,无论攻击者是使用专用工具,还是仅使用 Google,都可以获得有关组织的信息类型,包括:

  1. 招聘广告中 ICS 技术细节;
  2. 子域;
  3. 潜在的软件漏洞;
  4. 员工电子邮件地址(注意:建议不要将 OT 系统直接连接到互联网/电子邮件服务);
  5. 来自社交媒体平台的员工信息,即 LinkedIn,Facebook,Twitter 等;
  6. 以前密码泄露中被重用的凭据;
  7. 文档元数据暴露的内部组织信息;
  8. 系统集成商或供应商详细介绍 ICS 的案例研究;
  9. 使用“Shodan”或“Censys”直接发现 ICS 资产

通过使用诸如 ‘hunter.io’ 之类的工具获取公司电子邮件地址列表,攻击者可以做到:

  1. 检查获取的 LinkedIn 个人资料的电子邮件地址,以确定合适的网络钓鱼或社会工程目标,即技术​​主管、工程师、管理等;
  2. 交叉引用获取的电子邮件地址与公司电子邮件地址/密码组合,这些组合因网站泄露而暴露,并创建有针对性的网络钓鱼电子邮件或希望凭证重用;

招聘广告可以提供;

  1. 组织内 ICS 资产的详细信息;
  2. 可用于增强网络钓鱼电子邮件真实性的术语;
  3. 攻击者向组织提交恶意应用程序/文件的方法;

从公开文档中提取的元数据可以揭示;

  1. 组织内使用的操作系统;
  2. 文件夹路径结构;
  3. 用户名和格式;
  4. 组织内使用的软件和版本;
  5. 网络位置和路径;
  6. 打印机;
  7. 电子邮件地址;
  8. 技术数据;

执行子域枚举以识别组织中的潜在弱点,包括:

  1. 管理界面;
  2. 具有 LDAP 集成的远程访问或 Web 邮件门户(有时可用于验证域凭据);
  3. 远程访问门户;
  4. 忘记测试应用程序运行过时的软件(可能包含关键漏洞)。

查询 Shodan 或 Censys 可以揭示组织中的其他潜在切入点,包括:

  1. 与工业控制系统或子组件的网络接口;
  2. 具有易受攻击固件的网络附加存储(NAS)驱动器;
  3. 远程桌面界面;
  4. 路由器上的管理接口(HTTP,Telnet,SSH);
  5. FTP 服务器。

虽然确实一旦在互联网上共享信息就很难删除,但是您的组织可以采取一些步骤来帮助减少人们的数字足迹,反过来,使攻击更难成功。这些步骤包括但不限于:

  1. 使用 Shodan 等工具监控您自己的 CIDR 范围(可以通过命令行界面实时执行);
  2. 阻止 Censys 和 Shodan 扫描的 IP 地址和范围,以帮助防止您的资产可能出现在公开可用的扫描结果中;
  3. 如果您必须上传文档,请确保不仅文档内容没有可能对攻击者有益的敏感信息,而且文档或文件本身也会对元数据进行清理;
  4. 对于面向公众的接口或应用程序,不必要的一概禁用;
  5. 映射所有外部接口并对这些接口执行定期漏洞扫描,以便及时发现漏洞;
  6. 对所有面向公众的资产实施黑名单制度;
  7. 仔细审查供应商根据您的资产创建的“案例研究”,以确保他们不会泄露敏感信息;
  8. 向员工提供 ICS 网络安全意识培训,以帮助确保他们了解良好的密码实践和他们在线发布的内容的敏感性(即 LinkedIn,博客等)

Open Source Intelligence (OSINT) for OT: What adversaries can learn about your organisation and what you can do. Considering the ‘ICS Cyber Kill Chain’ model which defines the first stage of a cyber intrusion as ‘reconnaissance’, it is important to understand what information attackers can obtain about your organisation by simply using open source intelligence (OSINT) to craft targeted attacks.

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据