Open Source Threat Intelligence

Halo selamat datang kembali bersama saya Bayu Aji kali ini saya akan membuat artikel tentang "Threat Intelligence" Ya saya akan membahas seputar OSINT lagi tapi disini khusus untuk ancaman saja, saya biasanya melakukan teknik ini untuk riset. Misalnya saya ingin meneliti sebuah malware saya bisa menggunakan teknik ini untuk mengumpulkan informasi lebih mendalam dan detail sekarang saya akan membahas sebuah teknik serta platform yang akan digunakan, jadi periksa ini

Cyber threat intelligence (CTI) mengacu pada pengumpulan dan analisis data, yang hasilnya digunakan untuk menentukan tindakan apa yang diperlukan untuk membantu mencegah, mendeteksi, dan merespons ancaman cyber

Okok, berbicara tentang OSINT, sebenarnya sangat luas. Ya OSINT bisa melakukan apa saja seperti artikel yang dulu saya buat ada banyak kegunaan dari OSINT, OSINT kita dapat manfaatkan untuk ancaman intelijen (ancaman) Yang bertujuan untuk mendeteksi, mendeteksi serta mencegah dari ancaman cyber

OSINT juga dapat dimanfaatkan terhadap Advanced Persistent Threat (APT). Dengan menghubungkan OSINT yang dikumpulkan dengan alamat IP, alamat email, hash, pemilik dan indikator lain pada sistem yang terhubung ke Internet mereka, Anda dapat mendeteksi aktivitas untuk penyelidikan lebih dalam dan kesadaran situasional. Analisis OSINT juga dapat memberikan petunjuk kepada operasi keamanan untuk metode serangan APT (Advanced persistent threat) Dan membantu mereka mengumpulkan aktivitas yang mungkin berbahaya.

Sementara serangan APT dapat dimulai dengan infiltrasi, kejahatan akan memperluas kehadiran mereka dari waktu ke waktu dan mulai mengekstrak data. Melalui pengumpulan dan analisis OSINT, hal ini akan membantu kita untuk mengidentifikasi suatu hal

Okok, lalu bagaimana tekniknya? Hmmm sebenarya cara atau tekniknya hampir sama seperti OSINT (Artikel sebelumnya) tetapi ada sedikit perbedaan misalnya platform, tools dan analisis ya untuk kasus threat intelligence ada beberapa platform yang bisa Anda manfaatkan seperti otx alien vault, exploit db, spider foot, mandiant ioce dan lainnya , berikut saya akan menjabarkan tentang tekniknya

# Dorking

Oke, seperti yang saya katakan "Dorking merupakan hal yang luar biasa, Anda dapat melakukan apapun dengan teknik ini" Ya dorking sangat berguna untuk Anda yang ingin mencari tahu informasi lebih detail, mendalam serta objektif. Adapun untuk teknik dorking diantaranya

intitle: Search for specific titles

inurl: Search for specific urls or paths

intext: Search for specific words or contects

filetype: Search for files

site: Search from a specified target

Wildcard or symbol * (star) Find all web pages, for example: seccodeid*

Define:term Search for all things with specified terms, example define:seccodeid

cache page Take a snapshot of an indexed page. Google uses this to find the right page for the query you're looking for. Website or target specifically

example

intext:"hacking" site:seccodeid.com

Apa yang dicari ?

1. Alamat IP berbahaya

2. Domain / Situs Web

3. File hash (analisis malware)

4. Industri/negara korban

5. IOCs

6. Yara

7. Analyzing

Ya ini adalah contoh sederhana dari dorking, Anda dapat mengembangkan dorking Anda sendiri untuk menjadi powerfull dan objektif

Detail : https://github.com/Jieyab89/OSINT-Cheat-sheet-

# Threat Intelligence Tool

Okok, sekarang saya akan menjabarkan beberapa Threat Intelligence tool yang digunakan, tool ini dapat membantu Anda untuk mempermudah dalam melakukan pencarian, jika dirasa menggunakan dorking ribet dan lama, Anda dapat menggunakan tool khusus Threat Intelligence diantaranya sebagai berikut

1. Spiderfoot

SpiderFoot automates OSINT for threat intelligence and mapping your attack surface.

Apa yang bisa dilakukan oleh spiderfoot? Menemukan alamat IP yang mencurigakan atau indikator lain di log Anda yang perlu Anda selidiki

Fitur

Web based UI or CLI
Over 200 modules (see below)
Python 3
CSV/JSON/GEXF export
API key export/import
SQLite back-end for custom querying
Highly configurable
Fully documented
Visualisations
TOR integration for dark web searching
Dockerfile for Docker-based deployments
Can call other tools like DNSTwist, Whatweb, Nmap and CMSeeK
Actively developed since 2012!

SpiderFoot scan:

IP address
Domain/sub-domain name
Hostname
Network subnet (CIDR)
ASN
E-mail address
Phone number
Username
Person's name
Bitcoin address
SpiderFoot's 200+ modules feed each other in a publisher/subscriber model to ensure maximum data extraction to do things like:
Host/sub-domain/TLD enumeration/extraction
Email address, phone number and human name extraction
Bitcoin and Ethereum address extraction
Check for susceptibility to sub-domain hijacking
DNS zone transfers
Threat intelligence and Blacklist queries
API integration with SHODAN, HaveIBeenPwned, GreyNoise, AlienVault, SecurityTrails, etc.
Social media account enumeration
S3/Azure/Digitalocean bucket enumeration/scraping
IP geo-location
Web scraping, web content analysis
Image, document and binary file meta data analysis
Dark web searches
Port scanning and banner grabbing
Data breach searches
So much more...

Link : https://github.com/smicallef/spiderfoot

2. Maltego

Ya malego dapat membantu Anda untuk mencari hal informasi secara mendalam, maltego dapat digunakan untuk mencari apapun, Anda dapat mengeksplor tool ini untuk mempelajari nya secara mendalam, saya pribadi masih mendalami tool ini, jadi saya tidak bisa membicarakan panjang lebar untuk tool ini. Intinya tool ini dapat Anda gunakan untuk mencari apapun

3. Shodan

Dengan Shodan, mesin pencari yang canggih, pengguna dapat mencari web untuk perangkat yang terhubung ke internet. Situs web Anda dapat melihat gambar diatas, saya mencari exploit CVE ya shodan dapat menemukan beberapa exploit yang bisa Anda gunakan. Shodan bisa melakukan apa saja, mencari perangkat IoT, Malware, Exploit, Database dan lainya

4. Virus total

VirusTotal menggunakan ratusan pemindai antivirus dan sumber daya lainnya untuk analisis dan ekstraksi data yang disajikan pengguna dari direktori dan URL pengguna. Layanan ini dapat digunakan untuk dengan mudah memeriksa kejadian seperti dugaan e-mail phishing, dan setiap entri dapat disimpan dalam databasenya

Contoh :

c16842c992e9570c002523f0531465b3f7808e5711a2e7ceba49c4567c6303cf

5. Mandiant IOC editor

Mandiant Ioc editor yang berfungsi untuk Anda threat hunting, tool ini dapat membantu untuk membual rule Ioc atau membaca Ioc. Fungsinya sama seperti code editor tetapi ini dikhususkan untuk Ioc. Saya menggunakan tool ini baru 2 bulan dan saya masih mencoba mencari atau membuat Ioc sendiri untuk membantu para pakar sistem keamanan, jika dirasa Anda belum bisa menemukan threat sendiri Anda dapat mencari nya, bisa di otx alien vault Anda dapat melihat sample Ioc yang sudah dibuat, untuk user manual Anda dapat klik link di bawah

Link : https://www.fireeye.com/content/dam/fireeye-www/services/freeware/ug-ioc-editor.pdf

6. Talosintelligence

Talos yang memberi tahu orang-orang tentang ancaman yang berpengetahuan luas, risiko yang muncul, dan kerentanan saat ini. Talos juga menawarkan sumber daya untuk pengujian dan studi

More : https://forum.seccodeid.com/d/fbi-tools-tools-for-gathering-information-and-actions-forensic

# Platform

1. Otx (Open Threat Exchange) Alienvault

AlienVault Open Threat Exchange (OTX) menyediakan akses terbuka ke komunitas peneliti global dari ancaman dan keamanan profesional. Ini memberikan ancaman data yang dihasilkan komunitas, mendukung penelitian kolaboratif, dan mengotomatiskan proses keamanan Anda dengan ancaman data dari sumber mana pun

Indikator ancaman adalah entitas yang menunjukkan kemungkinan serangan atau kompromi dari beberapa jenis. Jenis yang paling umum adalah hash file (tanda tangan), dan reputasi data pada domain dan alamat IP yang telah terinfeksi dengan serangan.

File hash adalah pengidentifikasi unik dari worm, Trojan, keylogger, dan jenis program jahat lainnya. MD-5 atau SHA-1 menghasilkan sidik jari unik dari program selama proses kompilasi; file berbahaya dapat diidentifikasi menggunakan string teks uniknya. Demikian pula, situs web, IP, dan bahkan URL tertentu menyebarkan malware; pengguna yang mempengaruhi seluruh jaringan dalam bahaya. Lacak situs web berbahaya, daftar IP hitam, memeriksa file berbahaya menggunakan string hash dan memblokir akses infrastruktur teknologi Anda. Risiko terkait dengan situs web/IP berbahaya:

Halaman spam dan phising
Malware dan spyware
Alat proxy anonim dan jaringan P2P
Alamat IP Darknet (menggunakan TOR)
Server C&C yang mengelola botnet

Gunakan umpan publik dan pribadi untuk mengumpulkan informasi, menganalisisnya, dan memblokir aksesnya.

Anda juga bisa mendownload sampel data atau pulse dari otx

2. Threatcrowd

Mesin pencari untuk memungkinkan pengguna untuk mencari dan memperkirakan ancaman yang terkait dengan IP, situs web, atau organisasi. Ini juga menyediakan API dan ThreatCrowd API Anda dapat menemukan :

Domain
Alamat IP
Alamat email
File hash
Deteksi antivirus

Ini mengambil informasi dari Virustotal dan malwr.com; itu juga menyediakan transformasi MALTEGO untuk menganalisis dan menautkan data

Dikutip: https://resources.infosecinstitute.com/topic/open-source-threat-intelligence-tools-techniques/

3. Opencti

OpenCTI adalah platform sumber terbuka yang memungkinkan organisasi untuk mengelola pengetahuan dan pengamatan intelijen ancaman siber mereka. Ini telah dibuat untuk menyusun, mengatur, dan memvisualisasikan informasi teknis dan non-teknis tentang ancaman dunia maya.

Penataan data dilakukan dengan skema pengetahuan berdasarkan standar STIX2 . Ini telah dirancang sebagai aplikasi web modern termasuk GraphQL API dan frontend berorientasi UX. Juga, OpenCTI dapat diintegrasikan dengan alat dan aplikasi lain seperti MISP , TheHive , MITER ATT&CK , dll.

Github : https://github.com/OpenCTI-Platform/opencti

Open Source Intelligence - Open Source Threat Intelligence

Open Source Threat Intelligence

Komentar