Приветствую Хабр. На связи T.Hunter. Недавно у нас в офисе разгорелся спор – наберется ли хотя бы 10 сносных и, самое главное, БЕСПЛАТНЫХ инструментов для проведения OSINT?
Ну и оказалось, что наберется. Это, разумеется, не топ инструментов, а просто наш небольшой список. Он конечно же не претендует на звание самого лучшего и универсального, но возможно Ты, мой дорогой читатель, найдешь для себя что-нибудь интересное. Итак поехали …
DISCLAIMER: Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений.
Maltego
Maltego одна из лучших в мире систем визуального представления данных и автоматизации расследований. Используется даже Интерполом и Европолом. Maltego позволяет подключать собственные массивы информации и внешние онлайновые источники.
Нас интересует, пусть и урезаная, но вполне функциональная некоммерческая версия CE (Community Edition). Собственный магазин расширений Maltego включает большую подборку ресурсов, которые можно подключить совершенно бесплатно. Ну как бесплатно: трансформы бесплатно, а вот за API ключи, например Shodan, придётся заплатить. Однако у большинства сервисов есть пробный пул запросов к API.
Еще больше полезных источников можно подключить к системе самостоятельно. GitHub в помощь, ну и наша статья про бесплатные дополнения
Визуализация расследования помогает увидеть все взаимосвязи и понять, в каком направлении стоит развивать исследование. На схеме можно понять, как удобно выглядит аналитическое исследование большого количества данных и как наглядно видны взаимосвязи между этими данными.
Crystal Explorer
Crystal Explorer - младшая, зато бесплатная версия одного из самых известных инструментов для исследования транзакций криптовалюты Bitcoin, а также идентификации криптокошельков. Crystal позволяет проверить принадлежность до 5 криптокошельков в день по собственной базе, а также строит удобные схемы проведения транзакций в блокчейне.
На изображении показан пример исследования цепочки транзакций криптовалюты, и один из кошельков, через которые проходят средства, зарегистрирован на криптобирже Binance.
Ну а теперь немножко годноты из просторов Telegram.
Maigret OSINT bot
Telegram-бот и одноименный сервис для поиска совпадения имени пользователя (никнейма) на всевозможных форумах, в онлайн-сервисах, социальных сетях и мессенджерах.
Поиск осуществляется по более чем 2000 источников. Отчет Maigret включает в себя основную информацию о каждом выявленном профиле, предположительное имя, геолокацию и интересы владельца исследуемого никнейма.
Пример интересного и регулярно повторяющегося кейса: киберпреступник осуществляет свою деятельность, используя VPN-сервис. С помощью поиска по совпадению никнеймов находится старый аккаунт, который также схож по тематике, по лингвистической структуре текста в постах и другим признакам с аккаунтом, с которого преступник осуществляет свою деятельность.
По старому аккаунту выдаются данные об ip-адресе, ведущие к региональному провайдеру (например, Владимирская область), а также данные о номере телефона, который также зарегистрирован во Владимирской области. Здесь мы можем предположить, что с огромной вероятностью предполагаемый преступник проживает или проживал во Владимирской области. Вы скажете – так глупо и просто не бывает! Вы удивитесь, но люди очень часто совершают подобные ошибки.
EmailPhone OSINT bot
Telegram-бот для исследования номера мобильного телефона или адреса электронной почты по многочисленным утечкам информации. Частично идентифицирует личность их владельца. Сервис позволяет обнаруживать пароли, дополнительные контакты или социальные страницы пользователя. Весьма эффективный инструмент. Имеет ограниченное число бесплатных запросов в день.
Universal Search
Еще один хороший Telegram-бот, предназначенный для поиска исключительно открытой информации по таким запросам, как: номер телефона, адрес электронной почты, госномер автомобиля, имя пользователя, IP-адрес, доменное имя, геолокация, фотография, ID Telegram и ВКонтакте. Прекрасно автоматизирует OSINT.
Search4faces.com
Инструмент для поиска совпадения фотографии на аватарке пользователя в таких социальных сетях, как: ВКонтакте, Одноклассники, TikTok, Instagram и Clubhouse. Сервис позволяет найти нужного человека или очень на него похожего в течение нескольких секунд. Результатом является ссылка на профиль найденного человека в одной из соцсетей.
Canary Tokens
Canary Tokens - универсальный логер, позволяющий получить данные о соединении (IP-адресе, провайдере, регионе, использовании средств анонимизации трафика) и устройстве (модели, операционной системе, браузере) пользователя сети Интернет. Сервис позволяет встраивать логируемое содержимое практически в любой системный файл, офисный документ, картинку или гиперссылку. Как только внешний пользователь осуществит взаимодействие с логером (открыв файл или перейдя по ссылке) он раскроет данные о себе.
Так как данный инструмент также собирает данные о фингерпринтах устройства, с которого сидит пользователь, можно выяснить, что действия проводятся одним и тем же пользователем, несмотря на постоянную смену данных об IP-адресе с помощью VPN и прокси-серверов.
Яндекс. Аудитории
Перспективный инструмент для ADINT-анализа, в бесплатном варианте позволяющий получить социальный граф (пол, возраст, город проживания и поисковые интересы) пользователя по его уникальному рекламному идентификатору, привязанному к адресу электронной почты, номеру мобильного телефона или MAC-адресу используемого смарт-гаджета.
На данном примере наглядно видно, как мы исследуем личность объекта рекламной разведки с помощью сравнения данных. Проанализировав показатели двух рекламных кампаний (во второй кампании рекламный идентификатор исследуемого объекта был исключен из списка), можно собрать данные о поле, городе проживания и устройстве, с которого выходил в сеть пользователь.
Подробнее о том, как работает ADINT, мы писали в статье «ADINT или как за тобой следят через рекламу».
Spider Foot
Крутой и автоматизированный OSINT-сервис, специализирующийся на исследовании сайтов, доменных имен и IP-адресов. Сервис, как и Maltego, имеет модульную систему, позволяющую подключать к нему дополнительные модули. SpiderFoot дает возможность проводить до трех исследований в месяц бесплатно.
С помощью данного сервиса однажды удалось выяснить, что сайт-отзывник оказался подставным. На нем публиковались заказные отзывы. При изучении доменного имени сайта был выявлен IP-адрес. К данному IP-адреса был выявлен другой сайт, который также размещен на этом адресе. Владелец второго сайта был идентифицирован по адресу электронной почты (информация выдана также сервисом SpiderFoot), использованной при регистрации. Удалось найти аккаунт владельца сайта, который на своей странице в социальной сети предлагал услуги по написанию положительных отзывов. Таким образом, с помощью сервиса SpiderFoot была установлена связь между личностью и сайтом с заказными отзывами.
Dork Search
Инструмент автоматизации и подсказок при формировании запросов Google Dorks - хитрые запросы к поисковику, которые помогают пролить свет на общедоступные, но скрытые от посторонних глаз данные.
Один вовремя использованный запрос Google Dorks может сыграть ключевую роль в расследовании. Вот пример реального кейса, которым у нас был: при исследовании анонимного криптовалютного кошелька данные о транзакциях изначально не давали существенных результатов. При использовании запроса, содержащего адрес биткоин-кошелька, затем пробел и фразу «-block» было обнаружено, что данный криптовалютный кошелек уже был использован группой хакеров-вымогателей. В сообщении хакеры-вымогатели оставили для связи адрес электронной почты, который в свою очередь привел к странице «Вконтакте».
Кстати, помимо «-block» есть еще полезные дорки для исследования криптовалют.
site:bitcointalk.org – далее через пробел адрес криптокошелька - Позволяет осуществлять поиск данных о криптокошельке на конкретном сайте. В приведенном примере - на сайте bitcointalk(.)org.
site:https://docs.google.com/spreadsheets Bounty intext:"@gmail.com" - позволяет осуществлять поиск таблиц Google Docs, включающих списки идентифицированных криптокошельков в рамках корпоративных программ Bug Bounty.
На базе Google Dorks работают несколько сервисов. Например, IntelligenceX, позволяющий исследовать ряд данных, в том числе адреса электронной почты и утечки, в которые данные адреса попали. Также сервис Telegago, позволяющий найти сообщения по ключевым словам в Telegram-ресурсах.
Вот пример еще одного очень полезного Google Dork’а: site:(https://t.me/ | https://www.facebook.com/ | https://vk.com/) "Имя Фамилия" - пригодится для поиска социальных профилей у человека или организации.
Ну вот, собственно, что мы смогли насобирать из опыта работы. Если Вы знаете какой-нибудь интересный инструмент для поиска инфы по открытым источникам, то напишите в комментариях к статье. Надеемся, что наша подборка смогла подарить Вам новые знания и инструменты. До новых встреч.