Upoluj cyberprzestępcę. Przewodnik dla hakerów prowadzących śledztwa online - ebook

Korporacyjny system informatyczny musi być stale gotowy do obrony. Trzeba mieć strategię reagowania na incydenty bezpieczeństwa i zachować czujność. Cyberprzestępczość jest dziś stałym elementem środowiska biznesowego i jeśli nie chcesz narazić swojego przedsiębiorstwa na niepowetowane straty, musisz opracować solidny zestaw narzędzi umożliwiających obronę i tropienie cyberprzestępców. Mimo że w pewnych okolicznościach należy zaangażować organy ścigania, spora część dochodzenia w sprawie naruszenia bezpieczeństwa należy do organizacji.

Ta książka jest praktycznym kompendium przeznaczonym dla inżynierów bezpieczeństwa. Znajdziesz w niej opis najnowszych narzędzi, technik i zasobów. Poznasz sposoby badania źródeł niepożądanego ruchu sieciowego, wydobywania informacji z publicznie dostępnych zasobów internetowych i ścigania osób, które mogłyby wyrządzić szkodę organizacji. Dowiesz się, jak, począwszy od pojedynczego adresu IP, stopniowo zdobywać informacje potrzebne do wzmocnienia ochrony, zidentyfikowania i wytropienia hakerów. Opisana tu metodologia została zastosowana w śledztwie przeciwko członkom grupy cyberterrorystycznej.

Przekonasz się, że dzięki użyciu łatwo dostępnych narzędzi można wytropić i zidentyfikować sprawców nawet wyjątkowo wyrafinowanych włamań do systemu!

W książce:

• najnowocześniejsze narzędzia do prowadzenia dochodzeń przeciw cyberprzestępcom
• techniki śledzenia niepożądanego ruchu sieciowego
• wyszukiwanie informacji wywiadowczych
• identyfikowanie potencjalnych sprawców dzięki powszechnie dostępnym informacjom
• budowa złożonych scenariuszy zaawansowanego wyszukiwania
• sztuczki i nieoczywiste techniki stosowane przez ekspertów

Wykryto cyberatak? Czas na polowanie!

O autorze

O korektorze merytorycznym

Podziękowania

Wstęp

Rozdział 1. Pierwsze kroki

• Dlaczego ta książka jest inna?
  • Co znajdziesz w tej książce, a czego nie
  • Poznaj moich kolegów ekspertów
• Co musisz wiedzieć?
  • Płatne narzędzia i dane historyczne
  • A co z Maltego?
  • Wymagania
• Ważne zasoby
  • OSINT
  • OSINT.link
  • Termbin
  • Hunchly
  • Listy słów i generatory
  • Serwery proxy
• Wprowadzenie do kryptowalut
  • Jak funkcjonują kryptowaluty?
  • Eksploratory łańcuchów bloków
  • Podążając za pieniędzmi
• Podsumowanie

Rozdział 2. Śledztwa i hakerzy

• Droga śledczego
  • Bądź wielki lub wracaj do domu
  • Włamanie, którego nie było
  • Dylematy moralne
  • Różne ścieżki śledztwa
  • Śledzenie cyberprzestępców
• The Dark Overlord
  • Lista ofiar
  • Krótkie wprowadzenie
  • Struktura grupy i jej członkowie
• Podsumowanie
• W tej części

Część I. Eksploracja sieci

Rozdział 3. Ręczna eksploracja sieci

• Wykrywanie zasobów
  • Przeszukiwanie bazy ARIN
  • Zaawansowane wyszukiwanie
  • DNSDumpster
  • Hacker Target
  • Shodan
  • Censys
  • Fierce
  • Sublist3r
  • Enumall
  • Wyniki
• Zniekształcanie domen i porywanie adresów URL
• Podsumowanie

Rozdział 4. Wykrywanie aktywności sieciowej (zaawansowane techniki skanowania)

• Pierwsze kroki
  • Uzyskanie listy aktywnych hostów
  • Pełne skanowanie portów
• Omijanie zapory sieciowej i systemu IDS
  • Analiza przyczyn odpowiedzi
  • Omijanie zapory sieciowej
  • Porównywanie wyników
  • Formatowanie raportów
• Podsumowanie

Rozdział 5. Zautomatyzowane narzędzia do rozpoznawania sieci

• SpiderFoot
• SpiderFoot HX (wersja premium)
• Intrigue
  • Zakładka Entities
  • Badanie domeny uberpeople.net
  • Analiza wyników
  • Eksportowanie wyników
• Recon-NG
  • Wyszukiwanie modułów
  • Korzystanie z modułów
  • Wyszukiwanie portów za pomocą serwisu Shodan
• Podsumowanie
• W tej części

Część II. Eksploracja internetu

Rozdział 6. Pozyskiwanie informacji o witrynach internetowych

• BuiltWith
  • Wyszukiwanie wspólnych witryn na podstawie identyfikatora Google Analytics
  • Historia adresu IP i powiązane witryny
• WIG
• CMSMap
  • Skanowanie pojedynczej witryny
  • Skanowanie wielu witryn w trybie wsadowym
  • Wykrywanie podatności na ataki
• WPScan
  • Komunikat o braku systemu WordPress i omijanie zapory WAF
• Podsumowanie

Rozdział 7. Przeszukiwanie katalogów

• Dirhunt
• Wfuzz
• Photon
  • Przeszukiwanie witryny
• Intrigue
• Podsumowanie

Rozdział 8. Zaawansowane opcje wyszukiwarek

• Najważniejsze opcje
  • Znak odejmowania
  • Cudzysłów
  • Operator site:
  • Operator intitle:
  • Operator allintitle:
  • Operator filetype:
  • Operator inurl:
  • Operator cache:
  • Operator allinurl:
  • Operator intext:
  • Potęga dorków
  • Nie zapominaj o Bing i Yahoo!
• Zautomatyzowane narzędzia wyszukujące
  • Inurlbr
• Podsumowanie

Rozdział 9. WHOIS

• WHOIS
  • Zastosowania danych WHOIS
  • Dane historyczne
• Whoisology
  • Zaawansowane wyszukiwanie domen
  • Warte pieniędzy? Oczywiście!
• DomainTools
  • Wyszukiwanie domen
  • Wyszukiwanie wsadowe
  • Odwrotne wyszukiwanie adresów IP
  • Baza WHOIS na sterydach
  • Historia danych WHOIS
  • Siła widoków
  • Zgłębianie historycznych danych WHOIS
  • Odwrotna usługa WHOIS
  • Krzyżowa weryfikacja wszystkich informacji
• Podsumowanie

Rozdział 10. Przejrzystość certyfikatów i internetowe archiwa

• Przejrzystość certyfikatów
  • Co to wszystko ma wspólnego z cyberdochodzeniem?
  • Narzędzie CTFR
  • Serwis crt.sh
  • Przejrzystość w akcji: omijanie zabezpieczeń Cloudflare
  • Skrypt CloudFlair i serwis Censys
• Wayback Machine i archiwa wyszukiwarek
  • Przeszukiwanie buforów wyszukiwarek internetowych
  • CachedView.com
  • Przeszukiwanie serwisu Wayback Machine
  • Wyszukiwanie adresów URL
• Podsumowanie

Rozdział 11. Narzędzie Iris

• Podstawy narzędzia Iris
• Wskazówki nawigacyjne
  • Konfiguracja narzędzia
  • Ustawienia wyników historycznych
  • Wskazówki
  • Odciski certyfikatów SSL
  • Historia WHOIS
  • Historia zrzutów ekranu
  • Historia hostingu
• Wszystko razem
  • Najważniejsze odkrycie
• Podsumowanie
• W tej części

Część III. Poszukiwanie złota

Rozdział 12. Metadane dokumentów

• Exiftool
• Metagoofil
• Moduły narzędzia Recon-NG do analizy metadanych
  • Moduł metacrawler
  • Moduł interesting_files
  • Moduły geolokalizacyjne pushpin
• Intrigue
• FOCA
  • Utworzenie projektu
  • Wyodrębnianie metadanych
• Podsumowanie

Rozdział 13. Ciekawe miejsca do poszukiwań

• theHarvester
  • Skanowanie
• Serwisy wklejkowe
  • psbdm.ws
• Fora internetowe
  • Badanie historii forum (i grupy TDO)
  • Ustalenie tożsamości Cypera
• Repozytoria kodów
  • SearchCode
  • Gitrob
  • Dzienniki zatwierdzeń
• Strony wiki
  • Wikipedia
• Podsumowanie

Rozdział 14. Publiczne magazyny danych

• Wyciek danych z Exactis i narzędzie Shodan
  • Atrybucja danych
  • Parametry narzędzia Shodan
• CloudStorageFinder
  • Zasobniki AWS S3
  • Przestrzenie Digital Ocean
• Bazy danych NoSQL
  • MongoDB
  • Terminalowe narzędzia bazy MongoDB
  • Elasticsearch
• NoScrape
  • MongoDB
  • Elasticsearch
  • Cassandra
  • AWS S3
• Podsumowanie
• W tej części

Część IV. Tropienie ludzi

Rozdział 15. Badanie ludzi, obrazów i lokalizacji

• PIPL
  • Wyszukiwanie ludzi
• Publiczne rejestry i weryfikacja przeszłości
  • Ancestry.com
  • Przeszukiwanie rejestrów karnych
• Wyszukiwanie obrazów
  • Grafika Google
  • TinEye
  • EagleEye
• Narzędzie Cree.py i geolokalizacja
  • Pierwsze kroki
• Śledzenie adresów IP
• Podsumowanie

Rozdział 16. Przeszukiwanie mediów społecznościowych

• OSINT.rest
  • Inny obiekt badań
  • Twitter
  • Wtyczka SocialLinks do Maltego
• Skiptracer
  • Wyszukiwanie
• Userrecon
• Reddit Investigator
  • Przełom w badaniu grupy TDO
• Podsumowanie

Rozdział 17. Śledzenie profili i resetowanie haseł

• Od czego zacząć (badanie TDO)?
• Tworzenie tabeli śledztwa
  • Przeszukiwanie forów internetowych
• Inżynieria społeczna
  • Hakerska inżynieria społeczna: historia Argona
  • Koniec grupy TDO i forum KickAss
• Wskazówki resetowania hasła
  • Wypełnienie arkusza Weryfikacje
  • Gmail
  • Facebook
  • PayPal
  • Twitter
  • Microsoft
  • Instagram
  • jQuery
  • ICQ
• Podsumowanie

Rozdział 18. Hasła, zrzuty i Data Viper

• Hasła
  • Uzupełnienie profilu f3ttywap w tabeli śledztwa
  • Ważny zły zwrot
• Pozyskiwanie danych
  • Jakość danych i kolekcje 1 - 5
  • Gdzie szukać wysokiej jakości danych?
• Data Viper
  • Brakujące ogniwo: fora
  • Identyfikacja cr00ka
  • Skromne początki: Data Viper 1.0
• Podsumowanie

Rozdział 19. Komunikacja z hakerami

• Wyjście z cienia
• Kto to był WhitePacket?
  • Kontakty Bev Robb
  • Stradinatras
  • Obfuscation i grupa TDO
  • Kim był Bill?
• YoungBugsThug
  • Skąd wiedziałem, że to był Chris?
  • Czy ma to związek z botnetem Mirai?
• Ustalenie przepływu informacji
  • Wykorzystanie hakerskich niesnasek
  • Powrót do TDO
  • Rozstrzygnięcie ostatniej kwestii
• Podsumowanie

Rozdział 20. Zamieszanie wokół włamania za 10 milionów dolarów

• GnosticPlayers
  • Zhakowane witryny
• Wpisy GnosticPlayers
  • GnosticPlayers2
  • Tajemniczy trzeci członek grupy
  • Żarty się skończyły
• Nawiązanie kontaktu
  • Gabriel/Bildstein vel Kuroi'sh
  • Odchwaszczanie dezinformacji
• Zebranie wszystkiego w całość
  • Data Viper
  • Ufaj, ale sprawdzaj
  • Narzędzie Iris
  • Koniec historii
• Co się naprawdę stało?
  • Outofreach
  • Kto zhakował GateHuba?
  • Wszystkie ścieżki poprowadziły znów do NSFW
• Podsumowanie

Epilog