Cómo hacer un ataque de Reconnaissance sobre tu objetivo de la manera correcta

Share this…

Un equipo de expertos en seguridad informática nos explica, que un nombre de dominio representa algún tipo de etiqueta para direcciones IP en Internet. Ya que algunas empresas mueven su infraestructura a la nube, debemos encontrar servidores de empresas en el conjunto de direcciones IP de la nube, como encontrar una aguja en un pajar. Es por esto que los dominios proporcionan un buen enlace a las direcciones IP.

anonymous

El objetivo es encontrar todos los nombres de dominio de una única entidad. Esto solo se puede lograr paso a paso con la correlación de dominios verticales y horizontales. En el texto, una palabra denota la entidad de interés en el proceso de correlación.

Correlación de dominio vertical: con el nombre de dominio, la correlación de dominio vertical es un método de búsqueda de dominios que coinciden con el mismo dominio base. Este proceso se denomina enumeración de subdominio 1.

Correlación de dominio horizontal: con el nombre de dominio, la correlación de dominio horizontal es un método de búsqueda de nombres de dominio, que tienen un nombre de dominio de segundo nivel distinto pero coinciden con la misma entidad 1.

eff 1

Como ejemplo se ha seleccionado eff.org como objetivo.

Para el primer paso, los expertos dicen que debe realizar una correlación vertical en eff.org

Esto se hace con herramientas como Sublist3r, amass o aquatone. Debe tener en cuenta que hay muchas herramientas de código abierto para la enumeración de subdominios que dan malos resultados. El profesional en seguridad informática comenta que, es mejor usar “enumeración meta-subdominios” que combina resultados de múltiples servicios de enumeración.

Salida de muestra de Sublist3r.

eff 2

Pare el siguiente paso, se debe realizar una correlación horizontal en eff.org. Este paso puede llegar a ser un poco complicado. No se puede confiar en una coincidencia sintáctica como en el paso anterior. Seguramente, abcabcabc.com y cbacbacba.com serán propiedad de la misma entidad, sin embargo, no coinciden sintácticamente. Para esto podemos usar datos de WHOIS. Son servicios inversos que le permiten buscar en base al valor común de la base de datos WHOIS.

eff 3

Se proporciona una dirección de correo electrónico como contacto de registro, comenta el experto en seguridad informática. En este punto se puede hacer una búsqueda de WHOIS inversa para revelar otros dominios con el mismo correo electrónico.

eff 4

Para WHOIS inverso, el experto recomienda usar el servicio viewdns.info.

En el paso número tres, es necesario identificar los dominios interesantes del paso dos y ejecuta una correlación vertical.

Debe tener una lista grande de nombres de dominio vinculados a su objetivo, comenta el profesional en seguridad informática.

Con un poco de suerte, su objetivo habrá registrado un rango de direcciones IP dedicadas. Para comprobar esto, la manera más fácil es ejecutar la traducción de IP a ASN en tres direcciones IP que se encuentran en los nombres de dominio.

eff 5

Ahora parece que EFF.org no tiene espacio de IP dedicado. A manera de contraejemplo, veamos Google.

eff 6

Google opera en AS15169 que es uno de sus AS.

El obtener un rango de IP dedicado facilita las cosas: la compañía posee rangos de IP listados en el AS. Con esta información, podemos compilar una lista de direcciones IP a partir de la notación CIDR.

Si nuestro objetivo no tiene espacio dedicado, deberemos confiar en los nombres de dominio compilados anteriormente. A partir de esto, resolveremos las direcciones IP. Aun si el objetivo tiene un rango de IP dedicado, se recomiendo seguir el proceso. Existe una posibilidad de que parte de la infraestructura ya se esté ejecutando en la nube.

El investigador de seguridad informática nos dice que es importante tener en cuenta que hay una posibilidad de falsos positivos con este enfoque. El objetivo puede usar el alojamiento compartido, p. para una página de aterrizaje. La dirección IP de este host se incluirá en su lista, esta dirección claramente no está dedicada a su objetivo.

Para la resolución de DNS, el experto recomendó massdns. Resolverá los nombres de dominio en la lista compilada a las direcciones IP de sus registros a correspondientes.

eff 7

Se generará una lista de direcciones IP correspondientes a los FQDN del objetivo. Ahora, puede agregar el conjunto de resultados a las direcciones IP de los bloques CIDR. Debe tener una lista de direcciones IP vinculadas a su objetivo.

Ahora a la parte más interesante, los servicios. El motivo para recopilar nombres de dominio y luego direcciones IP es revelar qué servicios son el objetivo que se expone a Internet. Para esto, necesitamos escanear los hosts, comento el profesional en seguridad informática.

Tenemos dos opciones:

Escaneo activo: enfoque nmap tradicional. Para una lista de hosts, también puede ser Masscan. Es importante notar que el escaneo activo consume más tiempo y puede desencadenar IDS de cara al público. Pero obtienes representación más precisa de los servicios abiertos.

Análisis pasivo: se basa en datos recopilados de otra fuente. Estas fuentes incluyen, por ejemplo, Shodan o Censys. El inconveniente es que los resultados pueden tener varios días y algunos servicios ya pueden estar cerrados. Por otro lado, esta el modo de “sigilo” generalmente se prefiere cuando se realizan simulaciones APT.

Shodan ofrece dorks para este propósito. Se puede buscar un rango de IP específico como este:

neto: 64.233.160.0/19

También, podemos filtrar según la organización en la base de datos WHOIS:

org: “Google”

eff 8

Censys ofrece la misma funcionalidad:

ip: 64.233.160.0/19

Para la organización / filtro ASN:

autonomous_system.asn: 15169

autonomous_system.organization: “Google Inc.”

eff 9

Para el modo sigiloso, se puede usar Project Sonar para recuperar todo.

Ahora, debes tener muy buena visibilidad en tu objetivo.

eff 10

El conjunto final debe contener IP puerto que pertenecen al objetivo.

Los expertos en seguridad informática comentan que se pueden realizar tareas posteriores al procesamiento para revelar los servicios más interesantes; puede ejecutar la herramienta de captura de pantalla del sitio masivo, como Snapper, que proporcionará una visión general de la ejecución de sitios web en un solo lugar.

Fuente: https://   0xpatrik.com/asset-discovery/