Sherlock Linux distribución orientada a OSINT

 

Imagen obtenida de Sherlock Linux

Sherlock Linux es una distribución open source basada en Debian 64 bits, utiliza el entorno de escritorio XFCE y en su versiones para entornos virtuales se encuentran en español. Contiene todas las herramientas necesarias para la obtención de información en fuentes abiertas en una investigación OSINT.

OSINT es un anagrama en inglés open-source intelligence, en su traducción literal seria La inteligencia de fuentes abiertas. Básicamente seria recabar información de fuentes abiertas al público de por ejemplo una persona: nombre completo, redes sociales en las que publica, correo electrónico, dirección física etc... También se pueden realizar para estudios de mercado y/o investigación, como por ejemplo ciudades son más seguras en cuanto ataques terroristas perpetrados. Ello engloba una serie de técnicas o herramientas para rastrear de forma inteligente las distintas redes de información en Internet para recabar información clasificándola de forma ordenada.

Las técnicas o herramientas utilizadas en OSINT, entre otras, son muy importantes para la Ciberseguridad, puesto que para los ciberdelicuentes es la primera fase a la hora de realizar un ciberataques, a personas empresas e instituciones. Conocer que datos pululan por Internet sobre nosotros nos permite saber como ocultarnos, o como ofuscar ciertos datos comprometidos, como puede ser nuestra dirección o numero de teléfono personal.

Imagen obtenida de Incibe articulo Las 7 fases de un ciberataque. ¿Las conoces?

En la documentación se detallan las herramientas pre-instaladas y los marcadores  y extensiones agregados a los navegadores que se incluyen. Esta muy detallada y es una muy buena base de datos, que incluye enlaces web a las herramientas instaladas en la distribución.

Sherlock Linux se puede obtener por dos vías diferentes, descargando una máquina virtual (ova), se encuentran disponibles para virtualizadores VMware y Virtualbox, o una imagen (iso) con todo el software pre instalado o descargando el proyecto de GitHub de la distribución y ejecutar el script de instalación.

The Harvester herramienta OSINT

TheHarvester es una herramienta, OSINT (Open Source Intelligence), de código abierto diseñada para la recopilación de información utilizando fuentes abiertas y determinar el panorama de amenazas externas hacia una empresa expuesta a Internet. Permite la recopilación de cuentas de correo electrónico, subdominios, direcciones IP, URL, todo esto usando múltiples fuentes, para estudiar cual es la mejor puerta de entrada para poder extorsionar a una empresa y obtener dinero con un ciberataque. La herramienta fue desarrollada por Christian Martorella bajo licencia GNU GPLv2.

Como todas las herramientas de obtención de datos, son navajas de doble filo. Pueden ser utilizadas para la obtención de datos para la penetración en una empresa y realizar un cifrado de discos duros y así obtener una recompensa por el secuestro sus datos. O bien ver cual es el grado de exposición que tenemos y realizar labores preventivas para evitar ciberataques.

The Harvester puede ser utilizado desde la distribución Kali Linux. Esta herramienta viene instalado de forma predeterminada y es utilizada desde su terminal con el comando

 theHarvester

 

Para obtener ayuda sobre su opciones utilizaremos:

theHarvester -h

• -d: dominio objetivo sobre el que se quiere realizar el análisis.
• -l: límite para evitar que la búsqueda colapse. Se puede limitar a un número determinado de resultados, por ejemplo, al límite -l 100. El limite por defecto es 500 resultados
• -f: archivo. Si se quiere exportar los resultados a un archivo, los formatos más habituales son .xml o .json, por ejemplo, -f resultados.xml. Es muy interesante salvaguardar los datos obtenidos, para realizar un estudio sobre cual son nuestras brechas para poner énfasis en su salvaguarda.
• -b: fuente. Se pueden especificar uno o varios motores de búsqueda con los que se realizará el análisis. Por ejemplo, -b bing.

Ejemplo:

theHarvester -d enfaseterminal.com -l 100 -b bing

 

 Fuentes en las que The Harvester obtiene datos sobre el dominio que queremos proteger.

• anubis: Anubis-DB - https://github.com/jonluca/anubis

• bevigil: CloudSEK BeVigil escanea la aplicación móvil en busca de activos OSINT y los pone a disposición a través de una API - https://bevigil.com/osint-api

• baidu: buscador Baidu - www.baidu.com

• binaryedge: Lista de subdominios conocidos de www.binaryedge.io

• bing: motor de búsqueda de Microsoft - www.bing.com

• bingapi: motor de búsqueda de Microsoft, a través de la API (requiere una clave de API, consulte a continuación).

• brave: Buscador Brave - https://search.brave.com/

• bufferoverun: https://tls.bufferover.run

• censys: El motor de búsqueda Censys, utilizará búsquedas de certificados para enumerar subdominios y recopilar correos electrónicos (requiere una clave API, ver más abajo). - censys.io

• certspotter: Cert Spotter supervisa los registros de transparencia de certificados - https://sslmate.com/certspotter/

• Motor de búsqueda criminalip Specialized Cyber Threat Intelligence (CTI) - https://www.criminalip.io

• crtsh: Búsqueda de certificados de Comodo - https://crt.sh

• dnsdumpster: buscador DNSdumpster - https://dnsdumpster.com

• duckduckgo: buscador DuckDuckGo - www.duckduckgo.com

• fullhunt: La plataforma de seguridad de superficie de ataque de próxima generación - https://fullhunt.io

• github-code: motor de búsqueda de código de GitHub (requiere un token de acceso personal de GitHub, ver más abajo). - www.github.com

• hackertarget: escáneres de vulnerabilidades en línea e inteligencia de red para ayudar a las organizaciones - https://hackertarget.com

• hunter: Motor de búsqueda Hunter (Requiere una clave API, ver más abajo.) - www.hunter.io

• hunterhow: Motores de búsqueda en Internet para investigadores de seguridad - https://hunter.how

• intelx: Motor de búsqueda Intelx (requiere una clave API, consulte a continuación). - www.intelx.io

• omnisint: Project Crobat, A Centralised Searchable Open Source Project Sonar DNS Database - https://github.com/Cgboal/SonarSearch

• otx: AlienVault Open Threat Exchange - https://otx.alienvault.com

• Pentest-Tools.com: Kit de herramientas basado en la nube para pruebas de seguridad ofensivas, centrado en aplicaciones web y pruebas de penetración de red (requiere una clave API, ver más abajo). - https://pentest-tools.com/

• projecdiscovery: Recopilamos y mantenemos activamente datos de activos en Internet, para mejorar la investigación y analizar los cambios en torno a DNS para obtener mejores conocimientos (requiere una clave de API, consulte a continuación). - https://chaos.projectdiscovery.io

• rapiddns: herramienta de consulta DNS que facilita la consulta de subdominios o sitios de una misma IP. https://rapiddns.io

• rocketreach: acceda a correos electrónicos personales / profesionales verificados en tiempo real, números de teléfono y enlaces de redes sociales. - https://rocketreach.co

• securityTrails: Motor de búsqueda Security Trails, el repositorio de datos. DNS históricos más grande del mundo (requiere una clave API, ver más abajo). - www.securitytrails.com

• shodan: El motor de búsqueda Shodan, buscará puertos y banners de hosts descubiertos (requiere una clave API, ver más abajo). - https://shodan.io

• subdomainfinderc99: Un buscador de subdominios es una herramienta utilizada para encontrar los subdominios de un dominio determinado - https://subdomainfinder.c99.nl

• threatminer: minería de datos para inteligencia de amenazas - https://www.threatminer.org/

• urlscan: un espacio aislado para la web que es un escáner de URL y sitio web - https://urlscan.io

• vhost: búsqueda de hosts virtuales de Bing

• VirusTotal: virustotal.com búsqueda de dominios

• Yahoo: motor de búsqueda Yahoo

• zoomeye: Versión china de shodan - https://www.zoomeye.org

Desde este Blog recomendamos el uso de este tipo de herramientas únicamente para encontrar vulnerabilidades para reforzar y aplicar las acciones de seguridad para evitar ciberataques.