Net Gathering ou comment utiliser efficacement la toile

home-ysm-monitoring

Tout tentative de hacking commence par une récupération d’informations dites “Blanches“, c’est à dire publiqueq et légales, et “Grise“, c’est à dire privées et légales. Si un groupe de hackers décident de s’en prendre à votre compagnie, il va récupérer puis trier ces informations afin de les utiliser pour obtenir dans un second temps des informations privées qui seront récupérées de manières illégales, Bref ! de l’information dite “Noire“.

Mettons nous donc dans la peau de ce groupe de hackers chevelus écoutant Vivaldi pour découvrir comment est réalisée la récupération d’informations sur votre entreprise. L’objectif est double : comprendre comment va procéder un groupe de hackers dans ses recherches, ha les vils petits astucieux, et comment savoir ce que ma compagnie leur fournie comme informations, tête en l’air qu’elle est.

Énumération de domaines

La première étape est d’avoir une vue d’ensemble des noms de domaines ainsi que des filiales de la cible. Pourquoi ? Et bien tout simplement car nous voulons identifier les “maillons faibles” du réseau afin de les utiliser comme porte d’entrée. Nous allons donc utiliser quatre outils : Google, Recon-ng, les registres en ligne et Maltego.

Google Search

Il fallait s’en douter, nous ne pourrons pas nous passer du célèbre moteur de recherche. L’énumération DNS via google est très simple. Prenons comme exemple l’entreprise Microsoft (notamment parce qu’elle ne risque pas grand chose niveau sécu). L’énumération DNS se fait comme suit :

1 - Recherche simple
site:microsoft.com

2 -Recherche simple moins ce qui nous pourri la vue 
   sur les 8 première pages
site:microsoft.com -"inurl:www.microsoft.com"  //ou -www ça marche aussi

Recon-ng

Alors évidemment se taper tout ça à la main, ça devient vite fastidieux et comme le hackeur est un animal ingénieux, il développe des outils. Reco-ng est l’un de ces outils et est terriblement puissant. Il permet notamment de réaliser des opérations à travers plusieurs moteurs de recherche notamment Google et Netcraft :

Registre en ligne

Il existe beaucoup de sites référençant les compagnies, typiquement societe.com pour les entreprises géolocalisées en France ou info-clipper.com pour les entreprises internationales. Ces registres contiennent beaucoup d’informations utiles comme l’adresse du siège, les noms et prénoms des dirigeants, les dates de créations, les filiales et les partenaires. Ces informations sont souvent payantes mais c’est une étape obligatoire lors d’une analyse de cible.

Qui connait l’ennemi comme il se connait, s’assure la victoire.

Sun Zi, l’art de la guerre …ou Splinter des Tortues Ninja, c’est vous qui voyez

NetCraft

Netcraft est un organisme anglais de sécurité Internet et offre un nslookup extrêmement utile qui liste les domaines et sous domaines et nous donne d’autres informations tel que l’année de création du domaine, le type de serveur sur lequel il tourne, à qui il appartient, etc. Bref, une mine d’or !

Maltego

Maltego c’est THE outil de recherche qui vous permet en quelques cliques d’avoir une cartographie de votre cible. Dans la suite je ne vous mettrait que les liens utiles, mais je vous conseille fortement de vous faire la main dessus. Une représentation graphique du périmètre faillible va beaucoup plus parler à un manager qu’une liste d’IPs.

Petit exemple sur Sony : A voir  !!

 

Faiblesse des sites

Google Search

Ici, l’objectif est d’avoir une bonne appréhension de la sensibilité à la sécurité de la compagnie ciblée. Si en quelques recherches, je trouve pléthore de documents sensibles et d’oublis, je peux raisonnablement me dire que le vecteur d’attaque Internet a de forte chance de marcher sans trop se casser le citron.

Voici donc quelques exemples de recherche :

Trouver les robots et les readme
site:microsoft.com filetype:txt

Trouver des fichiers sympa
site:microsoft.com (filetype:sql | filetype:eml | filetype:xls | \
filetype:csv | filetype:conf | filetype:ini)

Trouver des fenêtres de login
site:microsoft.com (intitle:login | intitle:admin)
site:microsoft.com (inurl:login | inurl:admin)
//Bon là évidemment vous allez trouver 78000 pages, donc comme au début,\
//il suffit de supprimer les site reloud \
//...genre -inurl:technet -inurl:msdn , comme ça au hasard

Pour plus de trucs fun sur Google, je vous laisse chercher ce qui vous intéresse sur cette base de données très (TRES) utiles : http://www.exploit-db.com/google-dorks/

Recon-ng

Recon-ng est un outil très ambivalent dont certains modules permettent de chercher, dans une base historique, les failles XSS référencés sur le site xssed.com.

Cartographie réseau

Ok donc maintenant que l’on a une idée plus précise de qui est notre cible, nous allons créer une cartographie de son réseau à travers les données présentent sur la toile.

Petit mot sur Maltego

Oui encore, je vous avais prévenu, c’est THE outil. Vous l’avez bien vu dans la vidéo précédente, c’est rapide et à la portée du premier venu. Évidemment, il est préférable d’ajouter les sous domaines précédemment trouvé avec Recon-ng pour être totalement efficace.

Registres en ligne

Bien entendu, certaines adresses IP ne sont référencés sous aucun nom de domaine publique. Donc vous pouvez vous amuser à faire du brute force de DNS sur les serveur NS du domaine cible, ou jeter un oeil sur les bases de données IP. Car c’est l’organisme IANA qui s’occupe de l’assignation des IPs mondiales sur Internet. Du coup, en fonction de votre position géographique, vous pourrez vous adressez à la bonne base d’adresse IP.

Typiquement pour l’Europe, c’est RIPE NCC ! Ces adresses sont donc soit des routeurs soit des portails intranet ou VPN, donc potentiellement intéressant.

Cartographie social

Bien nous avons à présent la cartographie réseau. Et si nous faisions maintenant un peu de social engineering. Réalisons une cartographie du personnel de l’entreprise afin de savoir si de futures attaques tel que spear-phishing, farming, password guessing et autre joyeusetés sont possibles.

The harvester

La plus grande utilité de the harvester est sa capacité, entre-autre, à retrouver des adresses mails en une commande :

theharvester -d microsoft.com -b google
theharvester -d microsoft.com -b bing

Bien ! à partir de maintenant, si j’arrive à avoir le nom et le prénom des employés, je vais pouvoir reconstituer leurs adresses mail et rechercher ces adresses sur Internet afin de voir si je ne peux pas tomber sur des sites ou des adresses mail plus perso. L’objectif est évidemment de trouver des informations publiques mais personnelles sur un maximum d’employés…. publiques mais personnelles…Ah joie des contradictions d’Internet.

Et pour retrouver des employés sur linkedin, c’est aussi en une ligne :

theharvester -d microsoft -b linkedin

Recon-ng

Recon-ng permet aussi de réaliser une recherche d’employés dans un mode un peu plus parlant.

Maltego, The Mightiest

Encore une fois, voilà une petite démo vous donnant un aperçu de ce que peut faire Maltego avec les bons transforms, notamment la recherche sur les réseaux sociaux privées (6ème minute):

En conclusion

Nous avons à présent beaucoup d’information qu’il nous faudra trier, classer et pondérer. Un travail fastidieux mais qui peux rapporter gros pour des hackers. Notamment la création de dictionnaire de mot de passe par employé afin de tenter une attaque avec Hydra ou un peu de spear-phishing pour piéger le poste d’un employé.

Car ne croyez pas que la seule utilisation de ces outils suffisent, HOU NON, ce ne ne sont que les prémices ! Il existe un véritable savoir faire de recherche à travers les forums, les sites de rencontre, les annuaires téléphoniques, les partenaires et les filiales qui permettent de contourner les bastions surprotégés de votre SI.

Pour nous Ô commun des mortels, la maitrise de ces outils nous permettra de mieux appréhender notre surface d’attaques et de se focaliser sur nos réelles faiblesses, ou celle de nos partenaires. Le Net Gathering doit donc s’inscrire dans notre PDCA de la gestion SSI, indéniablement !