Выследите киберпреступника. Руководство для хакеров, проводящих онлайн-расследования

Upoluj cyberprzestępcę. Przewodnik dla hakerów prowadzących śledztwa online

Vinny Troia

Korporacyjny system informatyczny musi być stale gotowy do obrony. Trzeba mieć strategię reagowania na incydenty bezpieczeństwa i zachować czujność. Cyberprzestępczość jest dziś stałym elementem środowiska biznesowego i jeśli nie chcesz narazić swojego przedsiębiorstwa na niepowetowane straty, musisz opracować solidny zestaw narzędzi umożliwiających obronę i tropienie cyberprzestępców. Mimo że w pewnych okolicznościach należy zaangażować organy ścigania, spora część dochodzenia w sprawie naruszenia bezpieczeństwa należy do organizacji.

Ta książka jest praktycznym kompendium przeznaczonym dla inżynierów bezpieczeństwa. Znajdziesz w niej opis najnowszych narzędzi, technik i zasobów. Poznasz sposoby badania źródeł niepożądanego ruchu sieciowego, wydobywania informacji z publicznie dostępnych zasobów internetowych i ścigania osób, które mogłyby wyrządzić szkodę organizacji. Dowiesz się, jak, począwszy od pojedynczego adresu IP, stopniowo zdobywać informacje potrzebne do wzmocnienia ochrony, zidentyfikowania i wytropienia hakerów. Opisana tu metodologia została zastosowana w śledztwie przeciwko członkom grupy cyberterrorystycznej.

Przekonasz się, że dzięki użyciu łatwo dostępnych narzędzi można wytropić i zidentyfikować sprawców nawet wyjątkowo wyrafinowanych włamań do systemu!

W książce:

• najnowocześniejsze narzędzia do prowadzenia dochodzeń przeciw cyberprzestępcom
• techniki śledzenia niepożądanego ruchu sieciowego
• wyszukiwanie informacji wywiadowczych
• identyfikowanie potencjalnych sprawców dzięki powszechnie dostępnym informacjom
• budowa złożonych scenariuszy zaawansowanego wyszukiwania
• sztuczki i nieoczywiste techniki stosowane przez ekspertów

Wykryto cyberatak? Czas na polowanie!

O autorze:

Dr Vinny Troia jest uznanym informatykiem śledczym, specjalizuje się w opracowywaniu strategii bezpieczeństwa i usuwaniu skutków jego naruszeń. Zdobył głęboką wiedzę na temat standardów bezpieczeństwa i kontroli zgodności z przepisami ― doradza w tej dziedzinie podmiotom z różnych branż.

Spis treści:

O autorze

O korektorze merytorycznym

Podziękowania

Wstęp

Rozdział 1. Pierwsze kroki

• Dlaczego ta książka jest inna?

  Co znajdziesz w tej książce, a czego nie

  Poznaj moich kolegów ekspertów

• Co musisz wiedzieć?

  Płatne narzędzia i dane historyczne

  A co z Maltego?

  Wymagania

• Ważne zasoby

  OSINT

  OSINT.link

  Termbin

  Hunchly

  Listy słów i generatory

  Serwery proxy

• Wprowadzenie do kryptowalut

  Jak funkcjonują kryptowaluty?

  Eksploratory łańcuchów bloków

  Podążając za pieniędzmi

• Podsumowanie

Rozdział 2. Śledztwa i hakerzy

• Droga śledczego

  Bądź wielki lub wracaj do domu

  Włamanie, którego nie było

  Dylematy moralne

  Różne ścieżki śledztwa

  Śledzenie cyberprzestępców

• The Dark Overlord

  Lista ofiar

  Krótkie wprowadzenie

  Struktura grupy i jej członkowie

• Podsumowanie
• W tej części

Część I. Eksploracja sieci

Rozdział 3. Ręczna eksploracja sieci

• Wykrywanie zasobów

  Przeszukiwanie bazy ARIN

  Zaawansowane wyszukiwanie

  DNSDumpster

  Hacker Target

  Shodan

  Censys

  Fierce

  Sublist3r

  Enumall

  Wyniki

• Zniekształcanie domen i porywanie adresów URL
• Podsumowanie

Rozdział 4. Wykrywanie aktywności sieciowej (zaawansowane techniki skanowania)

• Pierwsze kroki

  Uzyskanie listy aktywnych hostów

  Pełne skanowanie portów

• Omijanie zapory sieciowej i systemu IDS

  Analiza przyczyn odpowiedzi

  Omijanie zapory sieciowej

  Porównywanie wyników

  Formatowanie raportów

• Podsumowanie

Rozdział 5. Zautomatyzowane narzędzia do rozpoznawania sieci

• SpiderFoot
• SpiderFoot HX (wersja premium)
• Intrigue

  Zakładka Entities

  Badanie domeny uberpeople.net

  Analiza wyników

  Eksportowanie wyników

• Recon-NG

  Wyszukiwanie modułów

  Korzystanie z modułów

  Wyszukiwanie portów za pomocą serwisu Shodan

• Podsumowanie
• W tej części

Część II. Eksploracja internetu

Rozdział 6. Pozyskiwanie informacji o witrynach internetowych

• BuiltWith

  Wyszukiwanie wspólnych witryn na podstawie identyfikatora Google Analytics

  Historia adresu IP i powiązane witryny

• WIG
• CMSMap

  Skanowanie pojedynczej witryny

  Skanowanie wielu witryn w trybie wsadowym

  Wykrywanie podatności na ataki

• WPScan

  Komunikat o braku systemu WordPress i omijanie zapory WAF

• Podsumowanie

Rozdział 7. Przeszukiwanie katalogów

• Dirhunt
• Wfuzz
• Photon

  Przeszukiwanie witryny

• Intrigue
• Podsumowanie

Rozdział 8. Zaawansowane opcje wyszukiwarek

• Najważniejsze opcje

  Znak odejmowania

  Cudzysłów

  Operator site:

  Operator intitle:

  Operator allintitle:

  Operator filetype:

  Operator inurl:

  Operator cache:

  Operator allinurl:

  Operator intext:

  Potęga dorków

  Nie zapominaj o Bing i Yahoo!

• Zautomatyzowane narzędzia wyszukujące

  Inurlbr

• Podsumowanie

Rozdział 9. WHOIS

• WHOIS

  Zastosowania danych WHOIS

  Dane historyczne

• Whoisology

  Zaawansowane wyszukiwanie domen

  Warte pieniędzy? Oczywiście!

• DomainTools

  Wyszukiwanie domen

  Wyszukiwanie wsadowe

  Odwrotne wyszukiwanie adresów IP

  Baza WHOIS na sterydach

  Historia danych WHOIS

  Siła widoków

  Zgłębianie historycznych danych WHOIS

  Odwrotna usługa WHOIS

  Krzyżowa weryfikacja wszystkich informacji

• Podsumowanie

Rozdział 10. Przejrzystość certyfikatów i internetowe archiwa

• Przejrzystość certyfikatów

  Co to wszystko ma wspólnego z cyberdochodzeniem?

  Narzędzie CTFR

  Serwis crt.sh

  Przejrzystość w akcji: omijanie zabezpieczeń Cloudflare

  Skrypt CloudFlair i serwis Censys

• Wayback Machine i archiwa wyszukiwarek

  Przeszukiwanie buforów wyszukiwarek internetowych

  CachedView.com

  Przeszukiwanie serwisu Wayback Machine

  Wyszukiwanie adresów URL

• Podsumowanie

Rozdział 11. Narzędzie Iris

• Podstawy narzędzia Iris
• Wskazówki nawigacyjne

  Konfiguracja narzędzia

  Ustawienia wyników historycznych

  Wskazówki

  Odciski certyfikatów SSL

  Historia WHOIS

  Historia zrzutów ekranu

  Historia hostingu

• Wszystko razem

  Najważniejsze odkrycie

• Podsumowanie
• W tej części

Część III. Poszukiwanie złota

Rozdział 12. Metadane dokumentów

• Exiftool
• Metagoofil
• Moduły narzędzia Recon-NG do analizy metadanych

  Moduł metacrawler

  Moduł interesting_files

  Moduły geolokalizacyjne pushpin

• Intrigue
• FOCA

  Utworzenie projektu

  Wyodrębnianie metadanych

• Podsumowanie

Rozdział 13. Ciekawe miejsca do poszukiwań

• theHarvester

  Skanowanie

• Serwisy wklejkowe

  psbdm.ws

• Fora internetowe

  Badanie historii forum (i grupy TDO)

  Ustalenie tożsamości Cypera

• Repozytoria kodów

  SearchCode

  Gitrob

  Dzienniki zatwierdzeń

• Strony wiki

  Wikipedia

• Podsumowanie

Rozdział 14. Publiczne magazyny danych

• Wyciek danych z Exactis i narzędzie Shodan

  Atrybucja danych

  Parametry narzędzia Shodan

• CloudStorageFinder

  Zasobniki AWS S3

  Przestrzenie Digital Ocean

• Bazy danych NoSQL

  MongoDB

  Terminalowe narzędzia bazy MongoDB

  Elasticsearch

• NoScrape

  MongoDB

  Elasticsearch

  Cassandra

  AWS S3

• Podsumowanie
• W tej części

Część IV. Tropienie ludzi

Rozdział 15. Badanie ludzi, obrazów i lokalizacji

• PIPL

  Wyszukiwanie ludzi

• Publiczne rejestry i weryfikacja przeszłości

  Ancestry.com

  Przeszukiwanie rejestrów karnych

• Wyszukiwanie obrazów

  Grafika Google

  TinEye

  EagleEye

• Narzędzie Cree.py i geolokalizacja

  Pierwsze kroki

• Śledzenie adresów IP
• Podsumowanie

Rozdział 16. Przeszukiwanie mediów społecznościowych

• OSINT.rest

  Inny obiekt badań

  Twitter

  Wtyczka SocialLinks do Maltego

• Skiptracer

  Wyszukiwanie

• Userrecon
• Reddit Investigator

  Przełom w badaniu grupy TDO

• Podsumowanie

Rozdział 17. Śledzenie profili i resetowanie haseł

• Od czego zacząć (badanie TDO)?
• Tworzenie tabeli śledztwa

  Przeszukiwanie forów internetowych

• Inżynieria społeczna

  Hakerska inżynieria społeczna: historia Argona

  Koniec grupy TDO i forum KickAss

• Wskazówki resetowania hasła

  Wypełnienie arkusza Weryfikacje

  Gmail

  Facebook

  PayPal

  Twitter

  Microsoft

  Instagram

  jQuery

  ICQ

• Podsumowanie

Rozdział 18. Hasła, zrzuty i Data Viper

• Hasła

  Uzupełnienie profilu f3ttywap w tabeli śledztwa

  Ważny zły zwrot

• Pozyskiwanie danych

  Jakość danych i kolekcje 1 - 5

  Gdzie szukać wysokiej jakości danych?

• Data Viper

  Brakujące ogniwo: fora

  Identyfikacja cr00ka

  Skromne początki: Data Viper 1.0

• Podsumowanie

Rozdział 19. Komunikacja z hakerami

• Wyjście z cienia
• Kto to był WhitePacket?

  Kontakty Bev Robb

  Stradinatras

  Obfuscation i grupa TDO

  Kim był Bill?

• YoungBugsThug

  Skąd wiedziałem, że to był Chris?

  Czy ma to związek z botnetem Mirai?

• Ustalenie przepływu informacji

  Wykorzystanie hakerskich niesnasek

  Powrót do TDO

  Rozstrzygnięcie ostatniej kwestii

• Podsumowanie

Rozdział 20. Zamieszanie wokół włamania za 10 milionów dolarów

• GnosticPlayers

  Zhakowane witryny

• Wpisy GnosticPlayers

  GnosticPlayers2

  Tajemniczy trzeci członek grupy

  Żarty się skończyły

• Nawiązanie kontaktu

  Gabriel/Bildstein vel Kuroi'sh

  Odchwaszczanie dezinformacji

• Zebranie wszystkiego w całość

  Data Viper

  Ufaj, ale sprawdzaj

  Narzędzie Iris

  Koniec historii

• Co się naprawdę stało?

  Outofreach

  Kto zhakował GateHuba?

  Wszystkie ścieżki poprowadziły znów do NSFW

• Podsumowanie

Epilog