CompTIA Pentest+ (PT0-003) – Bài 3: Thăm dò và Thu thập Thông tin Tình báo
Tài liệu ôn thi PT0-002 chuẩn nhất có tại @VuaDump
Bài 3: Thăm dò và Thu thập Thông tin Tình báo
I. Khám phá mục tiêu
- Thu thập thông tin
- Thăm dò và trinh sát liên quan đến việc xác định và thu thập thông tin cần thiết cho sự thành công của cuộc kiểm tra xâm nhập (PenTest)
- Tìm kiếm các đầu mối liên hệ, thông tin và dữ liệu kỹ thuật quan trọng bằng cách sàng lọc các nguồn bao gồm bài báo trực tuyến, mạng xã hội và thông cáo báo chí
- Chi tiết có thể giúp hiểu rõ hơn về hoạt động kinh doanh và danh tiếng của tổ chức mục tiêu.
- Khi có được, những phát hiện sẽ giúp đội ngũ đánh giá tốt hơn mục tiêu và đánh giá các vectơ tấn công khả dĩ.
Ví dụ:
Trước khi kiểm tra cho công ty B, đội PenTest thu thập thông tin về:
- Lĩnh vực, quy mô, cơ cấu tổ chức, đối tác và khách hàng chính
- Hồ sơ của các lãnh đạo chủ chốt và nhân viên IT
- Vụ việc an ninh mạng đã xảy ra và phản ứng của công ty B
- Kiến trúc mạng, thiết bị, hệ điều hành và ứng dụng đang sử dụng
- Chính sách, quy trình và nhận thức bảo mật của nhân viên
- Ghi lại các phát hiện
- Để bảo toàn dữ liệu, nhóm có thể tạo bảng tính:
- Bao gồm chi tiết như tài sản, bài kiểm tra, cùng với kết quả và các phát hiện
(Ảnh ví dụ bảng tính)
- Xác định thông tin tổ chức
- Thu thập dữ liệu từ mạng xã hội có thể là nguồn phong phú về thông tin của nhân viên như sở thích, hành vi, mối quan hệ và thông tin nhận dạng cá nhân khác (PII).
- Các bảng tin tuyển dụng công khai như CareerBuilder và Monster cung cấp cho ứng viên thông tin về vị trí còn trống.
- Mô tả công việc có thể tiết lộ thông tin về tổ chức
Ví dụ:
- Profile LinkedIn của quản trị viên hệ thống cho biết anh ta thích chơi golf, đi du lịch và có 2 con nhỏ. Thông tin này có thể được sử dụng trong các cuộc tấn công kỹ thuật xã hội như lừa đảo qua email.
- Tin tuyển dụng “Chuyên viên An ninh mạng AWS” tiết lộ công ty B đang sử dụng dịch vụ điện toán đám mây của Amazon và người này nhiều khả năng sẽ có quyền truy cập quản trị vào môi trường AWS.
- Kiểm tra thông tin DNS
- Địa chỉ IP của một tổ chức có thể hữu ích như một điểm vào mạng hoặc là một vector để thực hiện trinh sát sâu hơn.
- Truy vấn DNS nâng cao có thể truy xuất nhiều thông tin hơn chỉ là địa chỉ IP.
- Ví dụ: bạn cũng có thể xác định các bản ghi DNS riêng lẻ cho một tên miền cụ thể, chẳng hạn như:
• Bản ghi Mail Exchange (MX)
• Bản ghi Nameserver (NS)
• Bản ghi Service (SRV)
Ví dụ:
Sử dụng lệnh nslookup và dig, đội ngũ thu thập được các thông tin về tên miền example.com của công ty B:
- Địa chỉ IP của máy chủ web và máy chủ thư
- Tên miền phụ cho dịch vụ hỗ trợ khách hàng và đăng nhập từ xa
- Địa chỉ IP của máy chủ tên (name server) và máy chủ DNS dự phòng
- Thời gian sống (TTL) của bản ghi và thời điểm cập nhật gần nhất
Những chi tiết này cho thấy cấu trúc mạng và dịch vụ chạy bên dưới tên miền, từ đó xác định hướng trinh sát và tấn công tiếp theo.
II. Thu thập dữ liệu thiết yếu
- Sử dụng kho lưu trữ mã nguồn mở công khai
- Có hàng chục máy chủ lưu trữ mã nguồn có sẵn để chia sẻ và cộng tác về mã như GitHub, Bitbucket và SourceForge
- Bên cạnh sự tiện lợi của các kho lưu trữ, đi kèm với đó là những rủi ro.
- Nhà phát triển có thể tải lên các tệp riêng tư, ảnh chụp màn hình hoặc bình luận có thể chứa thông tin tình báo và thông tin hữu ích
- Ngoài ra, mã bị lộ có thể bị sửa đổi, dẫn đến tấn công cơ sở hạ tầng hoặc tắt hệ thống
Ví dụ:
- Trên GitHub, đội PenTest tìm thấy mã nguồn của ứng dụng mobile cho nhân viên công ty B. Trong các bình luận, lập trình viên vô tình để lại thông tin đăng nhập của máy chủ phát triển.
- Repo chứa script tự động hóa một số tác vụ bảo mật. Tuy nhiên, nó lại chứa thông tin nhạy cảm như tên người dùng, IP và mã API. Tin tặc có thể lạm dụng để tắt các hệ thống giám sát.
- Khai thác Google
- Sử dụng công cụ tìm kiếm của Google để xác định các lỗ hổng bảo mật trong các nguồn công khai, chẳng hạn như trang web của một tổ chức.
- Truy vấn bao gồm toán tử tìm kiếm đặc biệt để tập trung vào các loại thông tin cụ thể mong muốn:
- site – Một trang web cụ thể
- filetype – Các loại tệp cụ thể.
- inurl – Đường dẫn URL
- Sức mạnh thực sự của Google hacking nằm ở việc kết hợp nhiều toán tử vào một truy vấn duy nhất.
Ví dụ:
- Tìm tài liệu nội bộ liên quan đến mạng:
site:example.com filetype:doc inurl:network diagram - Tìm cấu hình mật khẩu:
site:example.com filetype:pdf “password configuration” - Tìm bảng tính chứa thông tin nhân viên:
site:example.com inurl:employee filetype:xlsx
- Khai quật trang web đã lưu trữ
- Các trang web được cập nhật, di chuyển hoặc xóa
- Thông tin bạn tìm thấy trước đó có thể không còn nữa.
- Để lấy thông tin trang web cũ hơn, bạn có thể sử dụng một vài phương pháp khác nhau:
- Sử dụng tìm kiếm bộ nhớ cache tiêu chuẩn trên một trang để xem giao diện gần đây của trang web.
- Tìm kiếm lưu trữ bằng cách sử dụng Wayback Machine
- Sử dụng tiện ích mở rộng trình duyệt trình xem bộ nhớ cache web
Ví dụ:
- Công ty B gần đây đã cập nhật và mã hóa tất cả các liên kết nội bộ trên trang chủ. Tuy nhiên, sử dụng Google Cache, đội PenTest vẫn có thể xem phiên bản trước đó với các URL gốc để lập bản đồ trang web.
- Tra cứu trang đăng nhập trên archive.org, đội PenTest phát hiện trước đây nó sử dụng HTTP và chuyển hướng sang HTTPS một cách không bảo mật. Điều này dẫn đến lỗ hổng bảo mật.
- Tìm kiếm hình ảnh và dữ liệu thú vị
- Tìm kiếm hình ảnh là một hướng khác mà nhóm có thể sử dụng khi trinh sát mục tiêu để xem liệu có bất kỳ thông tin tình báo nào có thể hành động được hay không.
- Các trang web cung cấp tìm kiếm hình ảnh ngược bao gồm TinEye, Google và Bing.
- Nhập URL hoặc tải lên hình ảnh, công cụ tìm kiếm sẽ tìm tất cả các hình ảnh tương tự và trình bày kết quả.
- Một lựa chọn khác mà nhóm có thể sử dụng là Google Alerts.
- Google sẽ theo dõi các nội dung mới trên web và thông báo nếu tìm thấy
Ví dụ:
- Trên diễn đàn công nghệ, một nhân viên đăng hình ảnh về văn phòng mới xây của công ty B. Sử dụng tìm kiếm ngược, đội PenTest thu thập được địa chỉ công ty, sơ đồ mặt bằng tầng và vị trí của phòng máy chủ.
- Thiết lập Google Alert cho cụm từ “rò rỉ dữ liệu example.com”, sau 1 ngày đội PenTest nhận được thông báo về bài viết trên DarkWeb chia sẻ thông tin khách hàng bị đánh cắp từ công ty B.
III. Tổng hợp thông tin trên Website
- Đánh giá Website
- Mục tiêu là xác định các lỗ hổng để thực hiện các cuộc tấn công khác nhau:
- Cross site scripting (XSS), SQL Injection (SQLi), Web caching poisoning
- Nhiều công cụ và kỹ thuật có sẵn
- Các công cụ bao gồm trình duyệt, Nmap, Metasploit, Dirb.
- Các kỹ thuật như brute-force các đường dẫn và các công cụ OSINT như Maltego
- Nhận dạng loại công nghệ và cả các thông tin phiên bản sẽ giúp nhóm chuẩn bị tốt hơn để khai thác các kịch bản cụ thể.
Ví dụ:
Sử dụng Nmap để quét trang chủ example.com, đội PenTest thu thập được:
- Trang web đang chạy trên Apache 2.4.41 và PHP 7.2
- Đã bật mô-đun mod_ssl, mod_reqtimeout và mod_rewrite
- Các cổng mở bao gồm SSH, MySQL và FTP
- Một số đường dẫn URL ẩn chứa các từ khóa nhạy cảm như “admin”, “config”
Thông tin trên gợi ý trang web có thể bị tấn công bằng cách:
- Khai thác các lỗ hổng đã biết trong Apache/PHP
- Brute-force tài khoản SSH, FTP và MySQL
- Truy cập trái phép và leo thang đặc quyền thông qua portal quản trị ẩn
- Mở rộng phạm vi
- Ngoài việc kiểm tra trang web chính, nhóm có thể được giao nhiệm vụ kiểm tra các trang web của đối tác, nhà tư vấn và nhà thầu của mục tiêu
- Điều này có thể tiết lộ các lỗ hổng nghiêm trọng trong chuỗi cung ứng.
- Các trang web tiềm năng khác có thể tiết lộ thông tin hành động:
- Tên miền phụ của các trang web chính không được liên kết trực tiếp hoặc dễ nhìn thấy
- Trang web do các tổ chức đối tác sở hữu và/hoặc vận hành
- Trang web của các công ty con của tổ chức mục tiêu; hoặc ngược lại, tổ chức mẹ của mục tiêu.
Ví dụ:
- Trang web example.com chia sẻ cùng cơ sở hạ tầng với trang web của công ty con examplesub.com và đối tác strategicpartner.com. Bằng cách kiểm tra cả 3 trang này, đội PenTest phát hiện ra lỗ hổng chung trên máy chủ cho phép truy cập vào dữ liệu nhạy cảm.
- Khảo sát mã nguồn của trang tuyển dụng careers.example.com, đội phát hiện một số API nội bộ không được bảo mật phù hợp. Chúng cho phép trích xuất thôngtin nhân viên và ứng viên từ cơ sở dữ liệu.
Đánh giá tập tin robots.txt
Web crawler quét mã nguồn trên trang web để tìm hiểu về cấu trúc và có thể tìm thấy thông tin thú vị.
Một cách để kiểm soát nơi chúng tìm kiếm và quan trọng hơn là nơi KHÔNG tìm kiếm là sử dụng tệp robots.txt
Nếu không được viết đúng cách, robots.txt có thể trở thành rủi ro bảo mật.
Đội ngũ nên kiểm tra cấu trúc của tệp robots.txt để đảm bảo rằng nó có mã hóa thích hợp nhằm hạn chế quyền truy cập khi tìm kiếm
Ví dụ:
Đội PenTest truy xuất tệp robots.txt trên trang example.com và nhận thấy:
Một số thư mục nhạy cảm như /admin, /logs, /config không bị chặn
Chỉ thị Allow cho phép mọi bot truy cập các thư mục riêng tư
Có nhắc đến một trang /secret_area không được liệt kê công khai
Không giới hạn tốc độ truy cập, cho phép các bot quét nhanh toàn bộ trang
Phân tích này giúp đội xác định các mục tiêu để quét sâu hơn và cố gắng truy cập trái phép. Đề xuất cho công ty cách cấu hình robots.txt an toàn hơn.
Nhận diện lỗ hổng của chứng chỉ số
SSL/TLS sử dụng chứng chỉ số để xác thực danh tính của máy chủ web và trao đổi khóa mật mã.
Chứng chỉ được sử dụng trong giao tiếp SSL/TLS là một tài nguyên công khai khác có thể hỗ trợ quá trình kiểm tra xâm nhập.
Trình quét lỗ hổng có thể thu thập và xác thực thông tin chứng chỉ để kiểm tra xem chúng có được ký và bảo mật đúng cách không.
Phát hiện các chứng chỉ lỗi thời thường chỉ ra các vấn đề quản trị hoặc hỗ trợ khác có thể bị khai thác.
Ví dụ:
Khi kiểm tra example.com, công cụ sslscan phát hiện:
Chứng chỉ SSL đã hết hạn 2 tháng trước và chưa được gia hạn
Thuật toán băm SHA-1 dễ bị tổn công va chạm
Phiên bản SSL 3.0 lỗi thời dễ bị tấn công downgrade
Chứng chỉ tự ký, không được cấp bởi CA đáng tin cậy nào
Những lỗ hổng này cho phép hacker nghe trộm giao tiếp, giả mạo trang web và đánh cắp thông tin nhạy cảm của người dùng. Cần thay thế ngay bằng chứng chỉ hợp lệ từ một CA uy tín.
Khám phá thông tin chứng chỉ
Một trong những trường hữu ích hơn trong chứng chỉ số là SAN
Có thể xác định các tên miền phụ cụ thể có thể được bảo vệ bởi chứng chỉ.
Nếu tìm thấy, bất kỳ SAN nào được liệt kê sau đó có thể được đội ngũ đánh giá:
Tên thường: *.comptia.org
SAN: *.comptia.org, comptia.org
Một số chứng chỉ chỉ sử dụng ký tự đại diện (*) để biểu thị rằng tất cả các tên miền phụ của tên miền chính đều được bảo vệ bởi chứng chỉ.
Nếu được sử dụng, bạn có thể không thể xác định bất kỳ tài nguyên cụ thể nào.
Ví dụ:
Chứng chỉ SSL của trang example.com bao gồm các trường SAN:
*.example.com
www.example.com
api.example.com
cart.example.com
Điều này cho thấy công ty sử dụng chứng chỉ wildcard cho tên miền gốc và chỉ định một số subdomain quan trọng khác. Các tên miền phụ này có thể là mục tiêu để trinh sát và kiểm tra xâm nhập tiếp theo.
Sử dụng khung minh bạch chứng chỉ CT
Nhật ký của các CA công khai được xuất bản để bất kỳ ai cũng có thể truy cập.
Chứa thông tin về các chứng chỉ cho tên miền và tên miền phụ do CA cấp.
Khung này có thể cho phép bạn khám phá các tên miền phụ không còn được chứng chỉ bảo vệ nhưng vẫn tồn tại.
Ví dụ: tổ chức có thể đã sử dụng SAN cụ thể trong quá khứ nhưng sau đó chuyển sang dạng wildcard.
Tên miền trước đó vẫn có thể được liệt kê trong nhật ký CT
Ví dụ:
Sử dụng công cụ tìm kiếm CT như crt.sh, đội PenTest tìm thấy các tên miền phụ cũ trong lịch sử chứng chỉ của example.com:
admin.example.com
support.example.com
citrix.example.com
Các tên miền phụ này không còn nằm trong chứng chỉ wildcard hiện tại. Tuy nhiên khi truy cập, đội phát hiện chúng vẫn đang hoạt động và chứa các ứng dụng lỗi thời, dễ bị tấn công. Đây là các lỗ hổng bị bỏ quên trong hệ thống.
Thu hồi chứng chỉ
Tất cả các trình duyệt web đều có danh sách CA và thông tin về việc chứng chỉ có hợp lệ, không hợp lệ hay bị thu hồi hay không.
Khi bắt đầu giao dịch, trạng thái của chứng chỉ sẽ được kiểm tra bằng một trong hai phương pháp:
Certificate Revocation List (CRL) – danh sách các chứng chỉ bị coi là không hợp lệ.
Giao thức trạng thái chứng chỉ trực tuyến (OCSP) – cách mới hơn để kiểm tra tính hợp lệ của chứng chỉ.
Quy trình OCSP tiêu chuẩn
Khi máy khách đi đến máy chủ web để bắt đầu giao dịch, sẽ diễn ra như sau:
Máy chủ web gửi cho máy khách chứng chỉ.
Máy khách truy vấn máy chủ OCSP để kiểm tra tính hợp lệ của chứng chỉ.
Cấu hình OCSP Stapling
OCSP Stapling đảo ngược gánh nặng này, để máy chủ web xác thực chứng chỉ
Máy chủ web đến máy chủ OCSP để kiểm tra tính hợp lệ của chứng chỉ
Sau đó, máy chủ web gửi chứng chỉ đã xác thực cho máy khách.
Ví dụ:
Khi truy cập example.com, trình duyệt gửi truy vấn OCSP tới máy chủ của Let’s Encrypt để kiểm tra trạng thái chứng chỉ. Phản hồi cho biết chứng chỉ vẫn hợp lệ.
Tuy nhiên với subdomain api.example.com, truy vấn OCSP trả về lỗi. Trình duyệt cảnh báo chứng chỉ có thể không đáng tin cậy.
Kiểm tra bằng OpenSSL cho thấy api.example.com không hỗ trợ OCSP stapling. Nó chỉ gửi chứng chỉ cho máy khách mà không có xác thực trạng thái, dẫn đến cảnh báo.
Điều này chỉ ra trang api.example.com có thể đã không được cấu hình bảo mật đúng cách và có lỗ hổng. Thiết lập OCSP stapling giúp giảm độ trễ và cải thiện trải nghiệm cho người dùng.
IV. Khám phá các công cụ tình báo mã nguồn mở (OSINT)
Giới thiệu OSINT
Sử dụng OSINT rất quan trọng trong các giai đoạn ban đầu của một cuộc kiểm tra xâm nhập
Được sử dụng trong giai đoạn trinh sát để thu thập thông tin từ các nguồn công khai một cách tự do và công khai, phục vụ cho quá trình khám phá có mục tiêu hơn.
Cho phép đội ngũ thu thập thông tin về mục tiêu một cách kín đáo mà không để lộ dấu vết.
Tìm kiếm siêu dữ liệu (metadata)
Metadata là thông tin được lưu trữ hoặc ghi lại như một thuộc tính của đối tượng, trạng thái của hệ thống hoặc giao dịch.
Các mục metadata có thể để lộ thông tin nhạy cảm.
Hai công cụ hỗ trợ khám phá metadata là Metagoofil và Fingerprinting Organizations with Collected Archives (FOCA).
Tìm kiếm metadata với Metagoofil
Metagoofil trích xuất metadata như tác giả, công ty, tiêu đề và chủ đề từ các tài liệu công khai trên (các) trang web mục tiêu
Kết quả đầu ra sau đó được hiển thị trong trình duyệt tiêu chuẩn bằng HTML
Khi tìm kiếm, các lệnh sẽ kiểm soát loại dữ liệu:
-d comptia.org sẽ quét tìm tài liệu trên Comptia.org
-t pdf sẽ quét các tài liệu pdf
-l 75 sẽ tìm kiếm 75 tài liệu
Ví dụ:
Chạy lệnh sau trên Kali để tìm tài liệu của example.com:
metagoofil -d example.com -t pdf,doc -l 200 -o output_dir -f results.html
Công cụ tải về 200 tệp PDF và DOC, trích xuất metadata, lưu vào thư mục output_dir và tạo báo cáo kết quả dạng HTML.
Mở results.html, đội tìm thấy:
Tên và chức danh của các tác giả tài liệu, bao gồm cả quản lý
Thông tin phiên bản phần mềm và hệ điều hành như Office 2019, Windows Server 2016
Địa chỉ mạng nội bộ như 192.168.1.100, có thể thuộc về máy chủ quan trọng
FOCA – Fingerprinting Organizations with Collected Archives
Công cụ giao diện đồ họa (GUI) được sử dụng để khám phá các metadata có thể bị ẩn trong các tài liệu, thường là tài liệu được tải xuống từ web.
Có thể làm việc với nhiều loại tài liệu:
MS Office cùng với định dạng OpenDocument
Các loại tệp PDF và thiết kế đồ họa (SVG)
Một số metadata hữu ích mà FOCA có thể trích xuất bao gồm:
Tên người dùng và tên mọi người, thông tin phiên bản phần mềm và hệ điều hành, thông tin máy in và mật khẩu văn bản thuần túy
Ví dụ:
Tải xuống hàng loạt tài liệu từ example.com, đội sử dụng FOCA để quét chúng. Công cụ phát hiện:
Email của người dùng dạng john.doe@example.com, có thể dùng để tấn công brute-force
Một số tài liệu được tạo bởi jane.admin@example.com, cho thấy đây có thể là tài khoản quản trị
Nhiều tệp đề cập đến máy in ở văn phòng công ty với mật khẩu mặc định “1234”
Bản nháp hợp đồng tiết lộ dự án mới với đối tác, chưa được công bố công khai
Thu thập thông tin với theHarvester
Có thể tự động hóa các tác vụ thu thập thông tin bằng cách sử dụng:
Google và Bing để thu thập thông tin từ các nguồn dữ liệu công khai.
Công cụ tìm kiếm chứng chỉ số của Comodo để lấy thông tin chứng chỉ.
Các trang mạng xã hội như Twitter và LinkedIn.
Chức năng banner grabbing bằng Shodan.
theHarvester thu thập thông tin về các nội dung sau:
Tên miền phụ, Tên nhân viên, Địa chỉ email
Mục từ khóa PGP, Cổng mở và biểu ngữ dịch vụ
Ví dụ:
Sử dụng lệnh sau để thu thập thông tin về example.com:
theharvester -d example.com -l 500 -b google,linkedin,twitter
Công cụ tìm kiếm trên Google, LinkedIn, Twitter với giới hạn 500 kết quả.
Kết quả trả về bao gồm:
Danh sách email của nhân viên như john.doe@example.com, jane.smith@example.com
Tên miền phụ như mail.example.com, vpn.example.com, api.example.com
Tài khoản mạng xã hội @example_com và các bài đăng liên quan
Dịch vụ đang chạy như OpenSSH 7.2p2, Apache 2.4.41, MySQL 5.7.30
Đây là những manh mối để đội khai thác sâu hơn về cơ sở hạ tầng và nhân sự của tổ chức.
Sử dụng Recon-ng
Recon-ng sử dụng nhiều module khác nhau để tùy chỉnh tìm kiếm:
Truy vấn Whois để xác định điểm liên hệ
Tìm kiếm khóa PGP
Công cụ thu thập tệp (file crawler).
Các mối liên kết hồ sơ truyền thông xã hội.
DNS record enumerator
Kiểm tra xem tài khoản đã bị xâm phạm chưa
Ví dụ:
Trong Recon-ng, chạy các lệnh sau để thu thập thông tin về example.com:
workspaces create example.com
db insert domains example.com
modules load recon/domains-hosts/hackertarget
options set SOURCE example.com
run
Module hackertarget sẽ truy xuất tất cả các tên miền phụ và địa chỉ IP liên quan đến example.com.
Kết quả cho thấy các subdomain thú vị như:
dev.example.com – máy chủ phát triển
citrix.example.com – cổng thông tin từ xa
id.example.com – trang đăng nhập SSO
192.168.5.10 – IP nội bộ, có thể là máy chủ quan trọng
Các mục tiêu này sẽ được đưa vào danh sách quét lỗ hổng và khai thác.
Trực quan hóa bằng Maltego
Maltego là một công cụ OSINT có thể thu thập nhiều thông tin đa dạng về các tài nguyên công khai.
Sử dụng giao diện đồ họa để giúp người dùng trực quan hóa thông tin thu thập được bằng một thư viện “transforms” mở rộng
Thu thập tên, địa chỉ, số điện thoại, email của cá nhân và các liên kết bên ngoài
So sánh dữ liệu với các bộ thông tin khác để cung cấp điểm chung giữa các nguồn.
Kết quả truy vấn sau đó được đưa vào biểu đồ node và các liên kết được thiết lập giữa mỗi node.
Ví dụ:
Trong Maltego, tạo biểu đồ cho tên miền example.com. Sau khi chạy các transform, sơ đồ cho thấy:
Tên miền liên quan đến 5 địa chỉ email @example.com
3 địa chỉ email sử dụng cùng số điện thoại và địa chỉ văn phòng
1 email xuất hiện trong vụ rò rỉ dữ liệu “Collection X” trên Dark Web
Trang twitter @example_com đăng nội dung về 1 sản phẩm sắp ra mắt
Các mối liên hệ này hé lộ cấu trúc tổ chức, mối quan hệ cá nhân và sự cố an ninh có thể xảy ra của công ty, giúp định hướng các bước tiếp theo trong trinh sát.
Tìm kiếm với Shodan
Shodan là một công cụ tìm kiếm được thiết kế để định vị và lập chỉ mục các thiết bị IoT được kết nối với Internet.
Đèn giao thông, hệ thống điều khiển công nghiệp (ICS) và các thiết bị khác có kết nối Internet và là một phần của IoT.
Shodan có thể hữu ích cho giai đoạn trinh sát kiểm thử xâm nhập:
Đội ngũ có thể xác định luồng của camera an ninh bên ngoài văn phòng của tổ chức mục tiêu để có cái nhìn rõ hơn về cơ sở và hệ thống phòng thủ của nó.
Nếu tổ chức mục tiêu sử dụng các hệ thống điều khiển, đội ngũ có thể thao túng chúng từ xa như một phần của giai đoạn tấn công.
Ví dụ:
Tìm kiếm “example.com” trên Shodan, kết quả trả về:
Hệ thống camera giám sát sử dụng giao thức RTSP với mật khẩu mặc định
Máy chủ cơ sở dữ liệu MongoDB để mở cổng mạng từ Internet
Thiết bị mạng của Cisco với phiên bản IOS lỗi thời, dễ bị khai thác
Máy in mạng với bảng điều khiển quản trị không có bảo vệ
Những phát hiện này cho thấy hạ tầng IoT của tổ chức thiếu các biện pháp phòng vệ cơ bản và có nguy cơ bị tấn công cao. Tin tặc có thể dễ dàng chiếm quyền điều khiển các thiết bị để xâm nhập sâu hơn vào mạng nội bộ.
V. Tổng kết
Thăm dò và thu thập thông tin là bước đầu tiên quan trọng của bất kỳ cuộc kiểm tra xâm nhập nào, giúp hiểu rõ hơn về mục tiêu tấn công.
Quy trình bao gồm việc khai thác các nguồn dữ liệu công khai như website, DNS, OSINT, mạng xã hội, hồ sơ công ty, thông tin đăng ký tên miền…
Mục đích là tìm ra mọi thông tin về cơ sở hạ tầng mạng, ứng dụng, công nghệ, dịch vụ, nhân sự của tổ chức, từ đó xác định các hướng tấn công tiềm năng.
Cần chú ý tìm kiếm cả những tài sản, tên miền phụ bị lãng quên hoặc bị bỏ qua do chúng thường ẩn chứa nhiều lỗ hổng nguy hiểm.
Các công cụ OSINT như theHarvester, Recon-ng, Maltego có thể tự động hóa và mở rộng quy mô thu thập thông tin, giúp tiết kiệm thời gian và nhân lực.
Việc ghi lại và tổ chức các phát hiện một cách có hệ thống, trực quan là rất cần thiết để theo dõi tiến độ và chia sẻ, phân tích với các thành viên khác trong đội.
Ví dụ:
Sau 1 tuần thăm dò, đội PenTest đã thu thập được bức tranh toàn cảnh về mạng lưới của công ty B:
Sơ đồ mạng và vị trí các thiết bị quan trọng như router biên, firewall, máy chủ
Danh sách các dịch vụ, ứng dụng chạy trên từng máy chủ và phiên bản tương ứng
Cơ sở hạ tầng website với nhiều tên miền phụ, máy chủ phát triển và sản xuất
Tên, chức vụ và thông tin cá nhân của các nhân viên chủ chốt, quản trị viên hệ thống
Lịch sử về các cuộc tấn công, rò rỉ dữ liệu và lỗ hổng chưa được vá trong quá khứ
Với thông tin tình báo phong phú này, đội tiến hành họp lên kế hoạch tấn công thử nghiệm. Các cuộc tấn công sẽ tập trung vào những mục tiêu có giá trị cao nhất và dễ bị tổn thương nhất theo thứ tự ưu tiên, nhằm chứng minh các rủi ro thực tế mà công ty B đang phải đối mặt.
Tài liệu tham khảo:
CompTIA PenTest+ Exam Objectives (PT0-002)
OSINT Framework: https://osintframework.com/
OWASP OSINT https://owasp.org/www-community/OWASP-OSINT
Awesome OSINT: https://github.com/jivoi/awesome-osint
OSINT Techniques: https://www.osinttechniques.com/
COMPTIA VIETNAM
Để lại một bình luận