Podczas zbierania informacji o kampaniach phishingowych, posługuję się kilkoma prostymi narzędziami.
Niektóre z nich mogą Ci się przydać.
Oto lista moich ulubionych 🧵 ↓
➤ ViewDNS
Agresor ukrył swoją stronę np. za Cloudflare?
Sprawdzam "IP History" i mam już adres sprzed ukrycia.
Mogę też wrzucić IP spamera do "Reverse IP Lookup" i zdobędę pozostałe strony do zgłoszenia do CERTu 😉
viewdns.info/
➤ CrtSH
Niemal wszystkie strony obecnie są podawane po protokole HTTPS, a więc mają swoje certyfikaty. To jest przeglądarka wystawionych certyfikatów.
Wrzucasz domenę phishingową i masz wszystkie jej subdomeny.
Przetestuj sobie np. na swojej domenie.
crt.sh
➤ Triage
Ściągnąłem malware i chcę zobaczyć, co on robi w systemie. Chcę go uruchomić, ale nie mam Windowsa, a to najczęściej jakiś EXE lub MSI.
Ten serwis udostępni mi na 30 minut wirtualkę, którą będę mógł nawet rozwalić, a później dostanę raport z tej zabawy.
Triage jest o tyle fajny, że nie jest to "po prostu VM", ale też narzędzie do podsłuchiwania wywołań systemowych, zmian w rejestrze, połączeń sieciowych, listowania modyfikowanych plików itp.
Narzędzie wymaga w zasadzie umiejętności... czytania 🤷♂️
tria.ge
➤ TinEye
Znalazłem grafikę i nie wiem, skąd ona pochodzi.
Z jakiegoś sklepu, sieci społecznościowej, a może z miniatury na YouTube?
Pod jaką markę podszywają się spamerzy?
Wrzucam fotkę i mam wynik.
tineye.com
➤ BuiltWith
Szybka analiza, na czym stoi dana strona.
Jakiego silnika używa, jakie usługi zaciąga itp.
Przydatne, gdy chcę wiedzieć do kogo zgłosić phishing.
(hosting, skracacz linków itp.)
builtwith.com/
➤ BinWalk
Czasami malware pobiera "dziwne pliki" z sieci.
Nie wiem, co to jest i nie mam pojęcia jak się do tego dobrać.
Na szczęście Binwalk potrafi to rozpoznać i wyodrębnić dla mnie dane do analizy.
github.com/ReFirmLabs/binwalk
➤ VirusTotal
Tego toola chyba nikomu nie muszę przedstawiać?
Wrzucasz podejrzany plik do analizy i niemal 60 antywirusów powie Ci, co o nim myśli.
Bardzo przydatna jest też zakładka "URL" do skanowania stron.
Zakładka "Search" pozwoli też sprawdzić IP.
virustotal.com/gui/home/upload
➤ Po co to wszytko?
Jeśli na Twoją skrzynkę mailową lub na komunikator wpada phishing nakłaniający Cię do podania wrażliwych danych, lub ściągnięcia malware, to możesz... po prostu go usunąć albo zgłosić jako spam.
Ale można też iść o krok dalej i to jest moim celem.
Chcę sprawić, aby taka kampania phishingowa wysłana do dziesiątek tysięcy odbiorców zakończyła się na mnie. Przeważnie to się udaje.
Czasami udaje się namierzyć inne strony phishingowe należące do tego samego agresora. Wtedy można zamknąć mu wszystkie strony razem 😈
Jakub Mrugalski 🔥
@uwteam
🤖 Piszę o technologii, AI, automatyzacji, cybersecurity i biznesie. 🛠 Dzielę się użytecznymi narzędziami i case-study 🤔 #DigitalEUAmbassador 🛑 Nie czytam DM