# OSINT ## Rappel   ### Veille vs OSINT | Veille | OSINT | | ----------------------------- | --------- | | collecte,indexation,diffusion | Recherche | | Parametre "défini" | Paramètre aléatoire | long terme |: court terme| Provoquer le questionnement, alimenter une reflexion |: Répondre à une question| ### Motivations ENI vs vulnérabilités AMI M : money I : ideology A : addiction (sexe,jeux,drogues) C : constraint E : ego Les vulnérabilités seront les signaux faible pour l'attaquant. Tous personne peut être faible à un moment donné, il faut trouver le point faible. (Ex : femme de ménage, vigile). ### Google Hacking "mots recherché" : recherche d'un terme précis ou un groupe de mots. -requête : site : recherche restreinte à certains site ou domines info :information sur un url (version en cache de la page, pages similaires redirections) allintext : recherche un mot uniquement dans cache: this dork will show you the cached version of any website, e.g. cache: securitytrails.com allintext: searches for specific text contained on any web page, e.g. allintext: hacking tools allintitle: exactly the same as allintext, but will show pages that contain titles with X characters, e.g. allintitle:"Security Companies" allinurl: it can be used to fetch results whose URL contains all the specified characters, e.g: allinurl client area filetype: used to search for any kind of file extensions, for example, if you want to search for jpg files you can use: filetype: jpg inurl: this is exactly the same as allinurl, but it is only useful for one single keyword, e.g. inurl: admin intitle: used to search for various keywords inside the title, for example, intitle:security tools will search for titles beginning with “security” but “tools” can be somewhere else in the page. inanchor: this is useful when you need to search for an exact anchor text used on any links, e.g. inanchor:"cyber security" intext: useful to locate pages that contain certain characters or strings inside their text, e.g. intext:"safe internet" link: will show the list of web pages that have links to the specified URL, e.g. link: microsoft.com site: will show you the full list of all indexed URLs for the specified domain and subdomain, e.g. site:securitytrails.com *: wildcard used to search pages that contain “anything” before your word, e.g. how to * a website, will return “how to…” design/create/hack, etc… “a website”. |: this is a logical operator, e.g. "security" "tips" will show all the sites which contain “security” or “tips,” or both words. +: used to concatenate words, useful to detect pages that use more than one specific key, e.g. security + trails –: minus operator is used to avoiding showing results that contain certain words, e.g. security -trails will show pages that use “security” in their text, but not those that have the word “trails.” ** revoir pour l'exam** https://pbwcz.cz/GHDB/files_containing_passwords.htm ### Collecte automatique via Bot Crawling/Scraping - Crawling : on va récuperer tout les sites sans avoir la structure.(wget,curl,python) Recueil du contenu / sans la structure - Scraping : nous allons deplacer de balise en balise dans le site recherche. Receuil du contenu d'un site Web /En utilisant la structure du site ### Focus sur la CTI (approche sécurité) - Réduction du délai de détection d'une attaque; - Prise en compte de la sécurité dés la conception (Privacy by design); - Une cybercriminalité (modéle commercial); - Des contraintes réglementaires éleveés (RGPD, bancaire, médicaux). Differents type de CTI : - stratégie : Analyses de trés haut mais peu techniques et destinés à des décisionnaires (rapports sur des adversaires qui ciblent un secteur donné); - tactique : documents (de type whitepapers) qui donnent des informations sur les outils et méthodologies utilisés par les cybermenaces (annalyse de malware, contournement d'anti-virus, outils utilisés pour mener des attaques DDos) - Opérationnel : l'objectif est d'anticiper une attaque en étant au plus près de l'attaquant (tweeter => groupe avec leur cible). La disponibilité des infromatiques est en fontion du niveau de sophistication de cybermenace (hacktiviste- cybercriminel-groupe sponsérie) - technique : composé d'indicateur de compromission(Ips) qui permettent d'identifier et donc de bloquer une attaque en cours. Cette information à cependant une durée de vie limitée et reste souvent peu fiable, non-contextualisé et disponible en trop grande quantité pour être traitée de maniére efficiente Idée maitresse : La renseignement et la CTI permettant de réduire considérablement les menaces **Rétro-ingénerie de la cyber-menace** Triange : opportunité exploite <->Intention de nuire <-> capacité d'attaque Losange : opportunité exploite <->Intention de nuire <-> capacité d'attaque <-> victime <-> ### SOC /CERT CERT externe, connaissances en cybercriminalité, veille sur les menaces N3 => (Expertise(Forensic,sandboxes)) N2 => Qualification et premier niveau d'analyse N1 => Tâches récurrentes / procédure PENTEST : Frontiére de l'expertise : différentes organisations possibles Equipes opérationnelles (réseau, poste de travail..) Conclusion CTI : Le renseignement et la CTI permettant de réduire considérablement les menaces d'origine cyber en récupérant et mettant en corrélation des signaux faibles. ### Cyber kill chain - Reconnaissance : collecte information on target - Weaponization : coupling exploit with backdoor into deliverable payload - Delivery : delivering weaponized bundle to the victim via mail - Exploitation : exploiting a vulnerability to execute code on victim's system - installation : installing malware on the asset - command & control : command channel for remote manipulation of victim - actions on objectives : with hands on keyboard access intruders accomplish their original goals ### Attack Model OSI - 1 keylogger - 2 Ethernet : Arp spoofing - 3 Network : DOS or Man in the middle - 4 transport : (DOS ping) hping2, scapy - 5 Session : vole de cookie - 6 Presentation : - 7 Applicztion : Injection ### TOR revoir le principe de tor