OSINT Framework

OSINT Nedir?

Open Source Intelligence (OSINT) yani Açık Kaynak İstihbaratı, herkese açık kaynaklardan toplanabilen bilgiler olarak açıklanabilir. Pentest veya profesyonel siber saldırıların ilk aşaması "Pasif Bilgi Toplama"nın tamamını oluşturur. Pasif bilgi toplama denilen kavram ise hedefteki kişi veya firmayla direkt temasa geçmeden yapılan bilgi toplama faaliyetidir. Bu konuyu kısaca açıklamak gerekirse; bir kişinin evlenmeden önceki soyadına erişmek istiyoruz. Bu bilgiyi bulmak için sosyal medya hesapları biçilmez bir kaftandır. Kişinin hesaplarını inceleyerek babasının veya erkek kardeşlerinin hesapları bulunabilirse rahat bir şekilde bu bilgiye erişilmiş olunur.

Yukarıdaki örnek basitçe konuyu özetlese de her zaman bu şekilde bilgi toplamak mümkün değildir. Çünkü sadece kişilerin değil firmaların da bilgilerine ulaşılması gerekir ve bunlar için de bazı toolar vardır. Bu yazımızda bu toollardan olan Osint Framework'ü açıklayacağız.

OSINT Framework Nedir?

OSINT Framework; hedefle ilgili sosyal medya hesaplarını, e-mail adreslerini, kullanılan domainleri ve daha birçok bilgiyi bulabilmemizi sağlayan bir araçtır. Bu araç Kali Linux'e kurulabildiği gibi "https://osintframework.com" adresinden de bu araca ulaşmak mümkündür.

OSINT Framework'ün sağ üst köşesinde bulunan sınıflandırması vardır. Bu sınıflandırmalar ileride kullanılacağından burada bahsetmekte yarar var.

1. (T) - Yerel olarak kurulması ve çalıştırılması gereken bir araca bir bağlantıyı gösterir.

2. (D) - Daha fazla bilgi için Google Hacking'e yönlendiren bir Google Dork'u ifade eder.

3. (R) - Kayıt gerektirir.

4. (M) - Arama terimini içeren bir URL'yi ifade eder ve URL kendisi manuel olarak düzenlenmelidir.

OSINT Framework'ün İçinde Bulunan ve Sıkça Kullanılan Kategoriler

1. Username

Bu kategori username bilgisine sahip olduğumuz bir kişinin veya firmanın başka sitelerde de aynı username bilgisiyle hesabı olup olmadığını bulmamızı sağlar.

Yukarıda da görüldüğü üzere genel ve özel olarak username araması yapılabilmektedir. Genel arama yapan toollar popüler sosyal medya hesaplarında verilen username bilgisinde kayıtlı hesapların olup olmadığını kontrol eder ve sonuçları döndürür. Özel arama yapan toollardaysa Amazon, Github ve Tinder için kullanılabilecek URL'i gösterir (M) ve buna göre hesabın olup olmadığı incelenebilir. Örnek olması adına burada çok sık tercih edilen "Namechk" toolunu tanıtmak doğru olacaktır.

Yukarıda da gösterildiği gibi arama kısmına hedef alınan kişinin veya firmanın ismini yazıp CAPTCHA doğrulamasını sağlayarak arama gerçekleştirilebilmektedir.

Ufak bir tarama süresinin ardından hedefe ait olabilecek domain ve sosyal medya hesapları listelenmektedir.

2. E-mail Adresi

E-mail kategorisinde e-mail hesabı öğrenme, yaygın e-mail biçimleri, e-mail doğrulama, e-mail'in daha önce leak (DarkWeb gibi bir yerlerde daha önce afişe olma durumu) olup olmama durumunu görme ve e-mail'in daha önce blacklistlere düşüp düşmediğini görme gibi alt kategoriler yer almaktadır. Bunların büyük bir kısmı ücretli veya kayıt gerektiren sistemlerden oluşsa da bazıları open source olarak kullanılabilmektedir.

1. Yaygın E-mail Formatları

"Metric Sparrow" isim, soyisim, nickname ve domain verek olası e-mail kombinasyonlarını görebilmek mümkündür. Bilgileri yukarıdaki gibi doldurdup "Permutate" butonuna basıldıktan sonra 51 farklı e-mail kombinasyonuna ulaşılabilmektedir.

2. E-mail Doğrulama

"Email Reputation" verilen mail adresinin daha önce leak olup olmadığını ve sosyal medya hesaplarında kullanılıp kullanılmadığından yola çıkarak adresin güvenilir olup olmadığının ölçülmesine yardımcı olur. Phising saldırılarından korunmaya yardımcı olabilecek bir araç olarak görülebilir.

3. E-mail Daha Önce Leak Olmuş mu?

"Have I Been Pwned?" girilen e-mail adresinin daha önce DarkWeb gibi yerlere sızdırılıp mail adresine kayıtlı olan sosyal medya hesaplarından hangi bilgilerin leak olduğu gibi bilgilere ulaşmayı sağlar.

3. Domain Name

Domain name kategorisinde whois kayıtları, subdomainler, keşif tooları, sertifika arama tooları, Pasif DNS araçları, domainlerin güvenirliliğini ölçen toolar, blacklistte yer alan domainleri görme, yazım farklılığı olan fake domainleri görebilme, domain analizleri, sosyal analitikler, DNSSEC, bulut kaynakları, web zafiyerleri, toollar ve zararlı siteleri raporlama alt kategorileri bulunmaktadır.

1. Whois Kayıtları

Whois kullanıcılara bilgi sağlamak için TCP tabanlı bir sorgu/yanıt protokolüdür. Domain'in kuruluş, tarih, durum vb. bilgilerini verir. Aynı zamanda bir domain'in boşta olup olmadığını öğrenmek mümkündür.

Whois TCP 43. portundan çalışmaktadır. Servisin 43. portuna sorgu atarak gelen sorguyu işleyip whois bilgilerini döndürmektedir.

Yukarıdaki alana kayıt bilgisi görüntülenmek istenen sitenin domain veya IP bilgisi yazılıp aratıldığında domain ya da IP'nin DNS kayıtlarına ve ping-traceroute bilgilerine ulaşılabilmektedir.

2. Subdomains

"www" ön ekiyle başlayan domainlerde spesifik alanları ifade edebilmek için subdomain adı verilen alt ifadeler kullanılır. Yukarıdaki görselde de görüldüğü üzere URL; protocol, subdomain, domain ve TLD sıralamasıyla oluşur.

Yukarıda görüldüğü üzere "sibervatan.org" adresine yapılan sorguda siteye ait subdomainler sıralanmaktadır.

3. Zafiyetli Siteler

Zone-H web sitelerinin hacklenmesi veya birtakım siber saldırılara maruz kalması somucunda oluşan index basma gibi sonuçları kayıt altına alıp oluşturulan arşiv sitesidir. Bu site, siber güvenlik uzmanları ve araştırmacılar tarafından incelenen ve analiz edilen birçok saldırı örneğini içermektedir.

4. IP & MAC Adresleri

Bu kategoride IP adresinden lokasyon tespiti, host ya da port keşfi, IP üzerinden sitenin zararlı olup olmama durumunun tespiti, sitenin blacklistlerde yer alıp almama durumunun tespiti, aynı IP'yi paylaşan domainlerin keşfi, Bulut sistemiyle korunan sistemlerin tespiti, SSID üzerinden kablosuz ağ bilgisi, ağ analizi ve IP logger yapmayı sağlayan araçlar bulunmaktadır.

1. IP Adresi Üzerinden Lokasyon Tespiti

Birçok internet hizmeti veren firma IP adreslerini lokasyon bilgileriyle veritabanlarında kaydeder. Bu sayede internet hattının bulunduğu yaklaşık konumu çekebilmek mümkündür. Capture the Flag yarışmalarında bu toollar sık sık kullanılır.

Yukarıda "sibervatan.org"a ait CloudFlare IP adresi aratıldığında sunucunun ABD'nin California eyaletinde bulunan San Francisco şehrinde bulunduğunu görülmektedir. Pentestlerde sosyal mühendislik için önemli bir bilgi kaynağı olabilmektedir. Bu bilgi sayesinde phising saldırıları inandırıcılığı artırmak adına özelleştirilebilir.

2. Host ya da Port Keşfi

Ağdaki cihazlara doğrudan istekler gönderilerek cevaplara göre açık portları keşfetmek mümkündür. Bu görevi sağlayan araçlar TCP veya UDP bağlantıları gibi ağ protokolleri üzerinden cihazlara paketler gönderir ve dönen cevaplara göre analizler sonucunda açık portlar belirlenir. NMAP bu konuda çok sık -kanaatimce en sık- kullanılan araçlardan biridir.

Basit bir nmap taraması -tooldaki hiçbir flag'i kullanmadan yapılan bir tarama- yaygın olarak kullanılan portlarda çalışan servisleri belirler. Tarama sonucunda açık portlar, bu portlarda çalışan servisler ve bazı temel istatistikler bulunur. Bazı özel flagler sayesinde arama özelleştirilip servis sürümü, işletim sistemi, ağ topolojisi gibi bilgilere ulaşmak mümkündür.

5. Arşivler

"Arşivler" kategorisinde web arşivleri, sızdırılan verileri, halka açık dataları, geçimişteki kayıtları bulmak mümkündür. Bu kategorinin önemli toollarından olan "Wayback Machine"den bahsetmek en doğrusu olacaktır.

Wayback Machine bir tür internet arşividir. Çevrim içi bulunan içeriklerin geçmiş versiyonlarını saklar. Bu araç, web sitelerinin farklı zamanlardaki durumlarını kaydederek, internetin evrimini izleme ve geçmişteki içeriğe erişim sağlama amacını taşır.

Pentestlerde bir web sitesinin geçmişdeki versiyonları izlenerek eski güvenlik zafiyetleri tespit edilebilir, eski kodlar okunarak kod analizi yapılabilir, zayıf bağlantı noktaları tespit edilebilir, saldırı senaryoları oluşturulabilir.

"sibervatan.org"a ait kayıtlara bakıldığında ilk kaydın 10 Mart 2019 tarihinde girildiği ve sitenin yapım aşamasında olduğu görülmektedir. 21 Mart 2020 tarihinde ise sitenin kullanılmaya başlandığı görülmektedir. Bu tarz kayıtlar incelenerek site hakkında bilgi toplanabilir.

6. Metadata

Metadata kategorisinde dijital dosyaların içinde saklanan meta verilerini toplamak ve analiz etmek için kullanılabilecek araçları barındırır. Bu verilerde dosyanın oluşturulma zamanı, düzenleme zamanı, dosya türü, oluşturulan cihazın bilgileri gibi bilgileri barındırır.

Bu kategoride sıkça kullanılan exiftool'dan bahsedilecek olursa "ExifTool" metadatadaların incelenmesini ve düzenlenmesini sağlayan bir araçtır. Çeşitli dosya formatlarını desteklemektedir. Resim dosyalarında EXIF (Exchangeable Image File Format) adı verilen metadata dosyası bulunur. Bu dosya resim dosyasının oluşturulma tarihi, kamera modeli, pozlama ayarı, GPS koordinatları gibi bilgileri bulundurur. ExifTool bu dosyaları okuyup ilgili bilgileri çekip analiz ederek kullanıcıya sunar.

GPS koordinatları veya IP adresi gibi hassas bilgilerin bulunması pentest işlemlerinde işe yarayabilmektedir. Aynı zamanda sahte veya manipüle edilmiş fotoğrafların tespiti için de kullanılabilmektedir.

7. Encoding / Decoding

Bu kategoride encode ve decode işlemleri yapılabilen araçlar yer almaktadır.

Encoding, bir bilgiyi belirli bir formata uygun olarak dönüştürme işlemidir. Bu işlem veriyi saklama veya güvenli veri aktarımında kullanılmaktadır. Birçok encode yöntemi bulunmaktadır.

Decoding, encode edilmiş bilgiyi orijinal hâline getirme işlemidir. Bu işlem bilgilerin alındığı veya depolandığı alanda gerçekleşmektedir.

Pentestlerde şifreli verilerin analizi, injection saldırıları, iletişim güvenliği, firewall testleri için encoding / decoding tooları kullanılmaktadır.

CyberChef birçok veri formatını manipüle etmek ve dönüştürüp analiz etmek için kullanılan açık kaynaklı bir araçtır. Veri dönüşümü, veri analizi, kriptografi, metin işleme, veri görselleştirme gibi amaçlara hizmet etmektedir. Esnek ve kullanıcı dostu arayüzü sayesinde sık sık tercih edilen araçlardan biridir.

Elimizde "WWF2dXpsYXIgQm9vaw==" bu şekilde bir şifreli metin olduğu varsayılsın. Bu metnin hangi şifreleme türüyle şifrelendiği bilinmediğinden birçok kez şifreleme türlerini denemek gerekecektir. Ancak CyberChef'teki "Magic" kategorisi sayesinde bu deneme işlemini sıfıra indirmek mümkündür.

Yukarıdaki görselde de göründüğü üzere input alanına şifreli metni ve recipe kısmına magic operasyonunu sürükleyip bırakırsak output kısmında girilen şifrenin hangi şifreleme türü ile şifrelendiği ve sonucunda ne çıktığı bilgisini alabilmekteyiz.

Uzun süre encode / decode işlemlerini yapmış kişiler bir süreden sonra kodun hangi şifreleme türüyle şifrelenmiş olabileceğini rahatlıkla tahmin edebiliyor olsalar da siber güvenliğe yeni başlayan kişiler için CyberChef hayat kurtarıcı bir araç olabilmektedir.

8. Zararlı Dosya Analizi

Zararlı dosya analizi, kötü amaçlı yazılımları tanımak, analiz etmek için yapılan bir süreçtir.

Bu kategorinin sık sık tercih edilebilen araçlardan biri "VirusTotal"dir. Dosya, URL, IP adres, domain veya dosya hash'i tarayarak verilen girdiyi birtakım antivirüs programlarında taratarak çıkan sonuçları listelemektedir. VirusTotal %100 doğru sonuç vermese de ön bilgi verebiliyor oluşundan tercih edilmektedir.

Daha önceden CTF olarak çözdüğüm bir dosyayı VirusTotal'e attığımda 67 antivirüs programı arasından 2 tanesi zararlı yazılım olarak gördüğü görülmektedir.

"Details" sekmesine gidildiğinde bir malware için yapılan statik analizde kullanılması gereken hemen hemen her bilgiyi içermektedir. Bu bilgiler reverse engineering ile uğraşan kişiler için dosya hakkında ön fikir almalarına yardımcı olabilmektedir.

9. Exploitler

Exploit, genellikle bir bilgisayar veya yazılımın güvenlik açığını kullanarak istenmeyen veya zararlı faaliyetlerde bulunmak için hazırlanan kod parçalarını ifade etmektedir. Bu açıklarla bir yazılımın veya işletim sisteminin beklenmedik şekilde davranmasına veya izinsiz erişimlere olanak tanımaktadır.

Bu kategoride internete çıkan cihazların veya yazılımların default username ve password bilgileri, exploit veritabanları, exploitlerin CVE detayları, OWASP bilgileri, anlık yayımlanan 0day açıkları gibi bilgilerin yer aldığı arşivler bulunmaktadır.

ExploitDB, exploitlerin bulunduğu bir veritabanıdır. Bu veritabanı çeşitli bilgisayar yazılımlarında ve işletim sistemlerinde bulunan güvenlik açıklarına ilişkin bilgileri barındırmaktadır. Pentestlerde sıkça kullanılan bir kaynaktır.

Arama kısmından saldırmak istenen yazılımın adını ve sürüm bilgisini girildiğinide o sürümde olan bir exploit olup olmadığını kontrol etmek mümkündür. Yer alan zaafiyete göre saldırı planları oluşturmakta işe yaramaktadır.