Reconnaissance

Reconnaissance nədir?

Hacker gələcək əməliyyatları planlaşdırmaq üçün istifadə edə biləcəyi lazımlı məlumatları toplamağa çalışır.

Tez-tez "məlumat toplama" və ya "izləmə" olaraq adlandırılan kəşfiyyat kibertəhlükəsizlikdə hədəf sistem və ya şəbəkə haqqında məlumat toplamaqdan ibarət mühüm mərhələdir. Bu mərhələ kiberhücum prosesində ilk addımdır, burada təcavüzkarlar hədəf mühiti anlamaq, zəiflikləri müəyyən etmək və növbəti addımlarını planlaşdırmaq üçün mümkün qədər çox məlumat toplamaq üçün axtarış aparırlar.

Passic məumat toplama:

Bu proses hədəflə birbaşa əlaqə yaratmadan məlumat toplamaqdan ibarətdir. Nümunələrə public məlumatların, sosial medianın və şəbəkə trafikinin monitorinqi daxildir. Kibertəhlükəsizlikdə recon hədəf sistem və ya şəbəkə ilə aktiv şəkildə əlaqə yaratmadan məlumat toplamaq prosesinə aiddir. Hədəflə birbaşa qarşılıqlı əlaqəni nəzərdə tutan siyahıdan fərqli olaraq, kəşfiyyat daha əlverişlidir və hədəfə heç bir paket və ya siqnal göndərmir.

MİTRE ATT&CK

Hədəfi kəşf etmək üçün istifadə oluna bilən məlumatların passiv şəkildə toplanması ilə əldə edilmə üsullarından ibarətdir. Bu cür məlumatlara qurbanın təşkilatı, infrastrukturu və ya işçi heyəti/heyəti haqda məlumatlar daxil ola bilər. Bu məlumat düşmən tərəfindən ilkin girişi planlaşdırmaq və həyata keçirmək, kompromisdən sonrakı məqsədləri əhatə etmək və prioritetləşdirmək və ya əlavə Kəşfiyyat səylərini idarə etmək və onlara rəhbərlik etmək üçün toplanmış məlumatdan istifadə etmək kimi rəqibin digər mərhələlərinə kömək etmək üçün istifadə edilə bilər.

Bu xüsusiyyətlərinə görə MİTRE ATTACK çox istifadə olunan online toollardan biridir. Orada çox saylı müxtəlif informasiyalar var ki buda bizə istənilən mövzu haqda bilikli olmagimizi təmin edir. Burada əskər məqalələr kibertəhlükəsizlik expertləri tərəfindən yazılmışdır. Real hadisələr əsasında minlərlə texnika və taktikalar qeyd olunmuşdur.

https://attack.mitre.org/

https://attack.mitre.org/tactics/TA0043/

Yuxarıdakı linklərdən istifadə edərək sizdə bu site haqda öyrənə bilərsiniz. Həmçinin bu online platforma bizim searching bacarıqlarımızın artırılmasındada önəmli rol oynayır.

Qeyd: Üst sırada olan hissə bize taktikləri gosterir. Onun altındakılar isə texnikalar adlanır. Hər bir texnikanın özünə məxsus funksiyaları və tərifləri olur. Hər biri ilə tanış olmaq sizə böyük üstünlük verə bilər.

Bu mərhələ çox vacibdir. Çünkü burada tapilan istənilən məlumat qarşıdakı mərhələlərdə bizə çox kömək edə bilər.

Host

Host əmri ilə biz hedef haqqinda ilkin melumatlar oyrene bilerik. Tutaq ki, hucum etmek istediyimiz server var vey a web site. Ilk once onun IP addressini oyrenmek lazimdir. Bu anda host emri bize komek edir.

Bele ki, linux terminalini achiriq ve

Bunu yoxla:

host + <hedefin domainini yaziriq>

Numune uchun gelin millisec.org saytini yoxlayaq:

Yuxaridaki shekilde gorduyumuz kimi biz IPv4 ve IPv6 haqda melumatlari elde etdik. Hemchinin mail serverlerinide (MX) oyrendik.

IPv4 :

 188.114.96.7

IPv6 :

  2a06:98c1:3120::7 

Mail serverleri :

aspmx.l.google.com.
alt1. aspmx.l.google.com.
alt2. aspmx.l.google.com.
alt3. aspmx.l.google.com.
alt4. aspmx.l.google.com.

Mail serverleri istifadəçilər arasında elektron mail (e-poçt) mesajlarının mübadiləsini idarə etmək və asanlaşdırmaq üçün istifadə olunur. Onlar e-mail elaqesi prosesində mühüm rol oynayırlar.

nslookup

NSLookup və ya name Server Axtarışı, domen adlarını və IP ünvanlarını araşdırmağa və problemləri həll etməyə kömək edən lazımlı bir vasitəsidir. Bu, internet de detektiv kimidir. Brauzerinizə veb ünvanı yazdığınız zaman NLookup həmin ünvan haqqında məlumatı aşkar edə bilər. Siz ondan vebsaytın IP ünvanını tapmaq və ya domen adının düzgün konfiqurasiya edilib-edilmədiyini yoxlamaq üçün istifadə edə bilərsiniz.

Onu istifadə etmək üçün kompüterinizin terminalını açın və araşdırmaq istədiyiniz domen adı və ya IP ünvanının ardınca “nslookup” yazın.

nslookup + <hedefin domain adi>

Daha sonra NSLookup domenlə əlaqəli IP ünvanı və məlumatı təqdim edən DNS serverinin adı və ünvanı kimi təfərrüatları göstərən, axtardığınız məlumatı əldə etmək üçün DNS (Domain Name System) serveri ilə əlaqə saxlayır. Bu, internet bağlantısı problemlərini başa düşmək və həll etmək üçün sadə, lakin güclü vasitədir.

Funksiyalari ve istifadesi host emri ile demek olar ki eynidir.

Host emrinden ferqli olaraq burada default DNS serveride bize melumat kimi verildi. Qalan butun outputlar eynidir. (IPv4 ve IPv6)

Traceroute

Traceroute internet üçün detektiv alət kimidir. Təsəvvür edin ki, mesajınızı onlayn olaraq dostunuza göndərdiyiniz zaman onun keçdiyi yolu öyrənmək istəyirsiniz. Traceroute sizə bunu etməyə kömək edir.

Siz traceroute istifadə etdiyiniz zaman o, dostunuzun kompüterinə paket adlanan kiçik mesajlar göndərir. Traceroute daha sonra bu paketlərin səyahətini qeyd edərək, onların yol boyu etdikləri hər bir dayanacağı sizə göstərir.

Sadə dillə desək, traceroute məlumatlarınızın internet vasitəsilə keçdiyi marşrutu görməyə kömək edir və hər hansı gecikmələrin və ya problemlərin harada baş verə biləcəyini anlamağa kömək edir. Bu, mesajınızın təyinat yerinə necə çatdığını görmək üçün çörək qırıntılarının izini izləməyə bənzəyir.

Linux uzerinden biz bu emri daha da yaxshi basha dushe bilerik:

traceroute + <hedefin domain adi> (unix OS uchun)

Nəticələni tehlil edek:

Traceroute təyinat yerinə çatmaq üçün məlumatlarınızın keçdiyi kompüterlərin və ya "hops"ların siyahısını göstərəcək.

Siyahıdakı hər bir sətir fərqli bir seviyeni təmsil edir və məlumatınızın həmin nöqtəyə çatması üçün lazım olan vaxtı göstərir.

Nəticəni anlamaq:

Birinci sütun hop nömrəsini göstərir.

Növbəti sütunlar məlumatların hər bir seviyeye çatması üçün lazım olan gediş-dönüş vaxtını (millisaniyələrlə) göstərir.

Daxil olan marşrutlaşdırıcıların və ya kompüterlərin IP ünvanları və ya domen adları da göstərilir.

Dnsrecon

DNSRecon kibertəhlükəsizlikdə hədəfin Domen Adı Sistemi (DNS) haqqında məlumat toplamaq üçün istifadə olunan bir vasitədir. DNS internetin telefon kitabçasına bənzəyir, insan tərəfindən oxuna bilən domen adlarını (məsələn, www.example.com) kompüterlərin ünsiyyət üçün istifadə etdiyi IP ünvanlarına tərcümə edir. DNSRecon təhlükəsizlik mütəxəssislərinə və etik hakerlərə hədəfin DNS infrastrukturunda potensial zəiflikləri və yanlış konfiqurasiyaları müəyyən etməyə kömək edir.

Daha sadə dillə desək, DNSRecon veb-sayt ünvanının internetdə necə tanindigini araşdıran, onlayn dünyanı daha təhlükəsiz etmək üçün mütəxəssislərə potensial problemləri tapıb həll etməyə kömək edən detektiv tool kimidir.

Istifadesi chox rahatdir. Sadece linux terminalinda bunu yazmaq kifayetdir:

dnsrecon -d <hedef domain adi>

Yuxarida gorduyumuz kimi biz chox etrafli bir melumat aldiq. Burada muxtelif DNS rekordlarini goruruk. Indi ise gelin DNS rekordlari haqda danishaq. DNS qeydləri bu internet telefon kitabçasındakı qeydlər kimidir. DNS qeydinin hər bir növü müəyyən bir məqsədə xidmət edir:

1. Rekord (IP address Qeydi): Bu qeyd domeni veb-saytın və ya xidmətin harada yerləşdiyini göstərən bir IP ünvanı ilə əlaqələndirir.

1. CNAME Qeydi (Kanonik Ad): Bu, domen üçün ləqəb kimidir. Bir domeni digərinə yönəldir, eyni veb sayt üçün birdən çox domen adından istifadə etməyə imkan verir.

1. MX Record (Mail Exchange): Bu qeyd e-poçtları domenlə əlaqəli düzgün poçt serverinə yönləndirir.

1. TXT Qeydi (Mətn Qeydi): O, tez-tez yoxlama və ya domen haqqında təfərrüatları təmin etmək üçün istifadə olunan mətn məlumatını saxlaya bilər.

1. NS Qeydi (Ad Serveri): Domen üçün hansı name serverlərinin səlahiyyətli olduğunu müəyyən edir. Name serverləri domen adlarını tərcümə etməyə kömək edən ixtisaslaşmış internet kitabxanaçıları kimidir.

1. PTR Record (Pointer Record): O, IP ünvanını domen adı ilə əlaqələndirərək əks DNS axtarışları üçün istifadə olunur.

Bu qeydlər birlikdə DNS sistemini təşkil edərək, brauzerinizə veb ünvanını daxil etdiyiniz zaman kompüterinizin müvafiq veb-sayt və ya xidməti haradan tapacağını təmin etməklə internetdə qüsursuz əlaqə və əlçatanlığı təmin edir.

Wafw00f

Wafw00f veb saytı qoruya bilən veb tətbiqi təhlükəsizlik divarlarını (WAF) müəyyən etmək üçün istifadə edilən təhlükəsizlik vasitəsidir. WAF-lar SQL inyeksiyası, saytlararası skriptlər (XSS) və digər veb proqram hücumları kimi müxtəlif onlayn təhlükələrdən qorunmağa kömək edən təhlükəsizlik tədbirləridir.

Sadə bir komanda ilə Wafw00f istifadə edə bilərsiniz:

wafw00f + <hedef sistemin adi>

Yuxaridaki shekilden biz bu neticeye gelirik ki, millisec.org saytinin arxasinda Cloudflare WAF chalishir. Ve ona qorunma temin edir.

Sadə dillə desək:

Wafw00f veb saytlar üçün detektiv kimidir. Bu, vebsaytı internetdəki pis adamlardan qorumaq üçün xüsusi mühafizəçinin (WAF) olub olmadığını öyrənməyə kömək edir. Ondan istifadə etmək üçün sadəcə veb-saytın ünvanını demək kifayətdir və o, mühafizəçinin olub-olmadığını və onun hansı növ olduğunu söyləyir.

Məsələn, https://example.com haqqında bilmək istəyirsinizsə, kompüterinizin terminalina ya da cmd-ne wafw00f https://example.com yazırsınız. Wafw00f sonra yoxlayır və deyir: "Bəli, SomeWAF adlı mühafizəçi var və onun versiyası budur." Bu, veb-saytda əlavə qorunma olub olmadığını anlamağa kömək edir.

Komandanı işə saldıqdan sonra Wafw00f veb saytı təhlil edəcək və aşkar edilmiş WAF haqqında məlumat verəcəkdir.

"WAF aşkarlandı: ModSecurity" və ya "WAF aşkarlanmadı" kimi bir şey deyə bilər.

WAF aşkar edilərsə, Wafw00f WAF versiyasını təxmin etməyə çalışır və bu məlumatı da təqdim edir.

Xülasə, Wafw00f veb-saytın veb tətbiqi təhlükəsizlik duvarından istifadə edib-etmədiyini öyrənməyə kömək edən və əgər belədirsə, hansı xüsusi təhlükəsizlik divarının yerində olduğunu müəyyən etməyə çalışan bir vasitədir. Bu məlumat təhlükəsizlik testi və vebsaytın müəyyən onlayn təhlükələrə qarşı qorunma səviyyəsini anlamaq üçün faydalı ola bilər.

Dig

Kibertəhlükəsizlikdə "dig" domen adları haqqında məlumat axtarmaq və Domen Adı Sistemi (DNS) sorğularını yerinə yetirmək üçün istifadə edilən komanda xətti alətidir. O, istifadəçilərə domen haqqında onun IP ünvanı, poçt serverləri və digər DNS ilə əlaqəli məlumatlar kimi müxtəlif təfərrüatları əldə etməyə kömək edir. Bu, kibertəhlükəsizlik mütəxəssislərinə və şəbəkə administratorlarına internetdə domen adlarının konfiqurasiyası və statusu haqqında məlumat toplamağa kömək edən bir vasitədir.

Istifadesi:

`Dig` əmri DNS (Domain Name System) serverlərini sorğulamaq üçün güclü vasitədir. Kibertəhlükəsizlik kontekstində ondan kəşfiyyat, nasazlıqların aradan qaldırılması və təhlil də daxil olmaqla müxtəlif məqsədlər üçün istifadə oluna bilər. Kibertəhlükəsizlikdə `dig` əmrinin bəzi ümumi istifadə halları bunlardır:

1. DNS Məlumatlarının Toplanması:

- Domen haqqında əsas məlumatları əldə edir:

dig example.com

- Nüfuzlu name serverləri də daxil olmaqla ətraflı məlumat əldə edir:

 dig +trace example.com

- Xüsusi DNS serverinə sorğu göndərir:

dig @dns.server.ip example.com

2. DNS qeydlərinin yoxlanılması:

- A (IPv4 ünvanı), AAAA (IPv6 ünvanı), MX (poçt mübadiləsi) və ya TXT (mətn) kimi xüsusi qeyd növü haqqında məlumat əldə edin:

dig example.com A

3. Ters DNS Axtarışı:

- Verilmiş IP ünvanı ilə əlaqəli domeni tapır:

dig -x 192.168.1.1

4. Xüsusi DNS Serverlərin Sorğulanması:

- Potensial yanlış konfiqurasiyaları və ya icazəsiz dəyişiklikləri müəyyən etmək üçün birbaşa xüsusi DNS serverinə sorğu göndərin:

dig @dns.server.ip example.com

5. DNSSEC (DNS Təhlükəsizlik Genişləndirilməsi) yoxlanılır:

- Domen üçün DNSSEC imzalarını təsdiq edin:

dig +dnssec example.com

6. Ad Server Məlumatının Tədqiqi:

- Bir domen üçün səlahiyyətli name serverləri haqqında məlumat əldə edin:

dig NS example.com

7. Zona köçürmələrinin yerinə yetirilməsi:

- Domen üçün bütün DNS qeydlərinin siyahısını əldə etmək üçün zona köçürməsinə cəhd edin (kəşfiyyat üçün faydalıdır):

dig AXFR example.com @dns.server.ip

8. DNS Cavablarına Nəzarət:

- DNS sorğularının cavab müddətinə nəzarət edin:

dig example.com +stats

9. Xüsusi DNS Qeyd Növlərinin Sorğulanması:

- Xüsusi qeyd növlərini əldə edin, məsələn, poçt mübadiləsi (MX) qeydləri:

dig example.com MX

10. DNS Cavab Kodlarının Təhlili:

- Potensial problemlər üçün DNS cavab kodlarını təhlil edin:

dig +short -p 53 @dns.server.ip example.com

11. DNS Problemlərinin aradan qaldırılması:

- DNS sorğusu və cavabı haqqında daha ətraflı məlumat üçün sazlamanı aktivləşdirin:

dig +debug example.com

12. TLS (DoT) üzərindən DNS və ya HTTPS (DoH) üzərindən DNS sorğusu:

- Əlavə təhlükəsizlik üçün TLS və ya HTTPS üzərindən DNS sorğularını yerinə yetirin:

dig +https example.com
dig +tls example.com

Kibertəhlükəsizlik məqsədləri üçün "dig" əmrindən istifadə edərkən, hədəfə potensial təsirləri nəzərə almaq və etik və hüquqi standartlara uyğunluğu təmin etmək vacibdir. Bundan əlavə, nəticələri başa düşmək və DNS sorğularından əldə edilən məlumatı şərh etmək effektiv kibertəhlükəsizlik təhlili üçün çox vacibdir.

Whois

WHOIS protokolu domen adlarını və IP ünvanlarını yoxlayan sorğudur. Whois.com və Lookup.icann.org kimi vebsaytlarda həyata keçirilən WHOIS sorğusu WHOIS məlumatlarını və ya araşdırılan vebsaytın identifikasiya və əlaqə məlumatlarını ortaya qoyur.

Domen adının qeydə alınıb-alınmadığını, kimə qeydiyyatdan keçdiyini, sahibinin əlaqə məlumatlarını və domen adına aid digər faydalı qeydiyyat məlumatlarını görmək üçün WHOIS sistemindən istifadə edə bilərsiniz. Hər kəs ictimaiyyətə açıq olan vebsaytlardan istifadə edərək WHOIS xidmətindən istifadə edə bilər.

İctimai WHOIS verilənlər bazası xüsusi domen adını qeydiyyatdan keçirən və ya DNS parametrlərini dəyişən hər kəsin əlaqə məlumatlarını saxlayır. Bu, vahid mərkəzdən idarə olunan domen adı qeydiyyatçısı olmasa da, Təyin edilmiş Adlar və Nömrələr üzrə İnternet Korporasiyası (ICANN) hələ də bütün WHOIS qeydlər bazasını tənzimləyir.

Bununla belə, bu məlumatların idarə edilməsinə gəldikdə, bu, xüsusi müstəqil qurumların işidir - domen qeydiyyatçıları və ya registrlər. İstənilən təşkilat ICANN akkreditasiyasını qazandığı müddətcə domen adının qeydiyyatı xidmətləri təklif edə bilər.

Qeydiyyatçılar həmçinin hər bir qeydə alınmış domendə WHOIS məlumatlarına ictimai girişi təmin etməyə borcludurlar. Beləliklə, hər kəs tam WHOIS məlumatını axtarmaq üçün WHOIS axtarış protokolundan sərbəst istifadə edə bilsin.

Müvafiq məlumatlara giriş verməklə yanaşı, reyestrlər .com və .org kimi ümumi yüksək səviyyəli domenlərin (gTLD) idarə edilməsinə də cavabdehdirlər.

theHarvester

Məlumat:

theHarvester axtarış motorları, PGP açar serverləri və SHODAN kompüter verilənlər bazası kimi müxtəlif ictimai mənbələrdən e-poçt ünvanları, subdomenlər, hostlar, işçi adları və digər müvafiq məlumatlar haqqında məlumat toplamaq üçün istifadə edilən məşhur açıq mənbə alətidir.

İstifadəsi:

1. Linux-u açın;

2. Bu əmri terminala yazın:

theHarvester -d templesite.com -l 500 -b all

• d - hədəf domen adı deməkdir;

• l - nəticələrin sayını məhdudlaşdırmaq deməkdir;

• b - məlumat mənbələri deməkdir ("google", "bing", "linkedin", "pgp," "crtsh," ).

assetfinder

Assetfinder subdomeinləri tapmaq üçün nəzərdə tutulmuş command line bir tooldu.Kiber təhlükəsizlik mütəxəsizləri və penetration testerlər tərəfindən subdomeinlər haqqda məlumat toplamaq üçün geniş istifadə olunur.

assetfinder --subs-only example.com | grep -v '*' | tee assetfinder_results.txt

Google Dorks

Google hacking kimi tanınan Google dorks,ənənəvi axtarış üsulları ilə asanlıqla əldə edilə bilməyən məlumatları tapmaq üçün istifadə olunan xüsusi axtarış sorğularıdı. Google dorks axtarış nəticələrini daraltmaq və xüsusi məlumat növlərini aşkar etmək üçün qabaqcıl operatorlardan və axtarış parametrlərindən istifadə edir.

Məqsəd:

• Məlumatın toplanması: İstifadəçi adları, parollar və məxfi məlumatlar kimi həssas məlumatların tapılması.

• Zəifliklərin Təhlili: Potensial təhlükəsizlik zəifliyi olan veb-saytların və ya sistemlərin müəyyən edilməsi.

• İzlər: Potensial kiberhücum üçün hədəf haqqında məlumatın toplanması.

İstifadə qaydası:

• site: - Axtarışı müəyyən bir vebsayt və ya domenlə məhdudlaşdırır. Nümunə:

site:example.com

• filetype: - faylın növünə görə axtarır Nümunə:

filetype:pdf

• intitle: - Web səhifələrin başlıqlarındakı sözlərə uyğun axtarır Nümunə:

intitle:titlename

• inurl: - URL də olan sözlərə uyğun axtarır Nümunə

inurl:admin

• intext: - Veb səhifənin mətndə olan sözlərə görə axtarır Nümunə:

intext:username

• cache: - Google-un keşində olan veb səhifənin versiyasını göstərir. Nümunə:

cache:example.com

• link: - Müəyyən edilmiş URL-ə keçid verən səhifələri tapır. Nümunə:

link:example.com

• related: - Müəyyən edilmiş URL ilə əlaqəli veb saytları tapır. Nümunə:

related:example.com

Shodan

Shodan, internetdə cihazların axtarılması və onlara giriş imkanı verən bir axtarış motorudur(search engine). Normal axtarış motorları adətən veb saytlarını indeksləyərkən, Shodan müxtəlif cihazları, serverləri, kamera sistemlərini, kompüterləri və hətta sənaye idarəetmə sistemlərini tapa bilər. Bu, təhlükəsizlik baxımından həm faydalı bir vasitə, həm də potensial olaraq riskli bir hall ola bilər, çünki açıq və ya zəif təhlükəsizlik tədbirlərinə malik cihazlar Shodan vasitəsilə aşkar edilə bilər. Bu səbəbdən, cyber security mütəxəssisləri, sistemləri qorumaq üçün Shodan'ın tapıntılarını izləyə və bu cür zəif nöqtələri aşkar edə bilərlər.

İstifadə edə biləcəyiniz əsas axtarış filtrləri bunlardır:

• city: müəyyən bir şəhərdə cihazları tapmaq

• country: müəyyən bir ölkədə cihazları tapmaq

• geo: kordinata əsasən axtarır

• hostname: Cihazin adına görə axtarmaq

• net: IP və ya /x CIDR əsasında axtarır

• os: əməliyyat sisteminə əsaslanan axtarış

• port: acıq olan xüsusi portlara əsasən axtarış

• before/after:müəyən zaman aralığında olan nəticələri axtarır

• org: Təşkilat üzrə axtarış

• hash: Banner hash əsasında axtarış

• has_screenshot:true: mövcund olan screenshot-a əsasən axtarır

• title: Başlıqdaki mətnə əsasən axtarır

• vuln: CVE əsasən axtarır

Nümunə

•Bakı şəhərində işləyən apache serverlərini tapmaq üçün:

apache city:"San Francisco"

•Azərbaycanda olan nginx serverlərini tapmaq üçün:

nginx country:"AZ"

•Müəyyən bir alt şəbəkədə Cisco cihazlarını tapmaq üçün:

cisco net:"216.219.143.0/24"