INFORMATIONSRECHERCHE IM INTERNET - REWE GROUP - IT-Forensik Wiki
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Inhalt 1. Auswahl des Unternehmens: REWE Group 2. Technische Werkzeuge 3. Personalisierung und technische Aspekte der Suche 4. Google-Abfragen 5. DeepWeb- und Darknet-Recherche 6. Social-Engineering/ Information Gathering a. Video- und Bildersuche b. Audiosuche c. spiderfoot HX 7. On- und Offpage Analyse 8. Verbesserungsmöglichkeiten 9. Fazit und offene Fragerunde
2. TECHNISCHE WERKZEUGE Kali Linux Nmap Social-Engineering-Toolkit Metasploit-Framework DNSDumpster.com A-Records MX-Einträge
3. PERSONALISIERUNG UND TECHNISCHE ASPEKTE DER SUCHE Google Testsuche mit: „site:rewe-group.com intitle:login“ Löschen aller Cookies kein Unterschied in den Suchergebnissen identifizierbar Kein Unterschied in der Anzeigenwerbung Vergleich der Suchergebnisse von Google auf der physikalischen Maschine (OSX – Safari Browser) sowie auf einer virtuellen Maschine (Win10 - Firefox) Veränderte “Anzeigenwerbung“ Kein weiterer Unterschied identifizierbar Vergleich der Ergebnisse mit VPN-Zugang Ebenfalls keine anderen Erkenntnisse Vergleich mit weiteren physikalischen Maschine 1 Ergebnis weniger auf Seite 1 mit Kali-Linux und Firefox Vergleich einer Suchabfrage mit Google und Bing Deutlich mehr Ergebnisse bei gleicher Abfrage bei Google keine weiteren zusätzlichen Ergebnisse bei Bing In der weiteren Folge für Google als Suchtool entschieden
4. GOOGLE-ABFRAGEN 2 grundsätzliche Suchansätze wurden forciert: Auffinden von potentiellen Angriffspunkte mit Suchanfragen des Google Hackings, wie: z.B. Site: rewe.de | site: rewe-group.com | site: rewe- digital.com intext:login Site: … intext:open+source Site:… filetype:pdf | filetype:doc | filetype … Auffinden von persönlichen Informationen wie E-Mail- Adressen, Telefonnummern, Bildern, Social–Media- Accounts für Social-Engineering-Zwecke
4. GOOGLE-ABFRAGEN Einstieg in die Suche über Bundesanzeiger „REWE“ Auffinden und Bewerten des aktuellen Jahresabschlusses (Beurteilung des Ziels) Identifikation verschiedener Funktionäre im Umfeld des Jahresabschlusses (Social Engineering) Identifikation verschiedener Tochtergesellschaften mit eigenen URLs, welche zur spezifischeren Suche verwendet wurden www.rewe.de www.rewe-group.com www.rewe-digital.com
4. GOOGLE-ABFRAGEN Site:… filetype:pdf | filetype:doc | filetype … Über Inhalt sind Ansprechteams identifizierbar mit E-Mail-Adressen und Telefonnummern Über Metainformationen der Dateien ggf. Namen von zwei Rewe-Mitarbeitern Ggf. ein Computername o. ä.
4. GOOGLE-ABFRAGEN Site:… filetype:pdf | filetype:doc | filetype … Auffinden einer Fülle an PDF‘s und Leitfäden, Stellenausschreibungen, etc. Identifikation von vermutlich eingesetzten Programmen über die Stellenprofile Identifikation von zwei in Verwendung befindlichen Open-Source-Programmen: Matomo / Piwik (Webanalytik-Werkzeug für Nutzerverhalten) Keycloak (SSO, Identity - /Accessmanagementsystem) Für beide Programme konnten aktuelle Exploits gefunden werden Für Keycloak ein Pentest-Report (06/2020) mit Hinweis auf die Verwendung in einem Login-Portal
4. GOOGLE-ABFRAGEN Google Suche nach Login-Portalen Site:… intitle:login Insgesamt 13 unterschiedliche Sites aufgefunden “Online Shop“ Zeitmanagement Systeme Jobportal Lieferantenportal nicht näher bezeichnete Seiten Der nächste Schritt wäre z.B. Angriff dieser Seiten über einen der gefundenen Exploits
4. GOOGLE-ABFRAGEN Mittels “Hunter.io“ E-Mail-Strukturen identifiziert sowie bereits ca. 300 aktive und teils meist verlinkte E-Mail-Adressen von Rewe-Mitarbeiterinnen und Mitarbeitern gefunden Mittels der identifizierten Personen aus dem Jahresabschluss (E-Mail konstruiert) sowie aus diversen PDF‘s weitere Google-Abfragen gestartet In der Hauptsache wurden hier verschiedene Facebook-, LinkedIn- und XING-Accounts ausfindig gemacht Die ohne Login verfügbaren Informationen geben weitere Informationen, wie z.B. einen auszugsweisen Lebenslauf und weiter verlinkte Personen preis Auf eine weitere Analyse mit ggf. anonymisierten Accounts wurde an dieser Stelle verzichtet
4. GOOGLE-ABFRAGEN Suche von Aufsichtsratsmitglied Hr. Josef Czok (Information dem Bundesanzeiger entnommen) Identifikation der E-Mail-Adresse über Hunter.io josef.czok@rewe.de – valid Czok.josef@rewe.de – invalid josef.czok@rewe-group.com – valid czok.josef@rewe-group.com – invalid Homepage der „Czoks“
4. GOOGLE-ABFRAGEN Jill Bohling: Facebook- und LinkedIn-Profil vorhanden Über Fußball-Bezug vermutlich Geburtsdatum identifizierbar Ebenso weitere Familienmitglieder, Studienorte, Abschlüsse, etc.
5. DEEPWEB- UND DARKNET-RECHERCHE Datenbanken (Business) Handelsregister The Official Board NORTHDATA ICRIS Hongkong „Wilde“ Suche Welche Möglichkeiten? Was geben Darknet- Suchmaschinen her?
5. DEEPWEB- UND DARKNET-RECHERCHE The Official Board: Business-Datenbank zur Anbahnung von Geschäftsbeziehungen Kann zur Identifikation von Führungskräften genutzt werden (in der Bezahlversion auch direkt Kontaktdaten liefern) Gibt einen Überblick über Führungskräfte und Tochterunternehmen
5. DEEPWEB- UND DARKNET-RECHERCHE NORTHDATA-Datenbank: Datenbank zur Identifikation von Firmen- Verflechtungen und -Historien Gibt einen Einblick in die Struktur, das Management und weitere Beteiligungen des Ermittlungszieles
5. DEEPWEB- UND DARKNET-RECHERCHE OpenCorporates-Datenbank US-Amerikanische Datenbank zur Unternehmensrecherche Weltweite Ergebnisse Führt zu einer asiatischen Tochtergesellschaft mit geringen Verknüpfungen zu europäischen REWE- Gesellschaften
5. DEEPWEB- UND DARKNET-RECHERCHE yasni-Personenrecherche Leitende Angestellte wurden in der Personen- suchmaschine yasni gesucht, um zusätzliche, nach Möglichkeit private Informationen zu erhalten Beispiel: Jan Kunath Identifizierte, privat genutzte E-Mail-Adresse: schatzmeister@glckoeln.de
5. DEEPWEB- UND DARKNET-RECHERCHE Genutzte Verzeichnisdienste Genutzte Darknet-Suchmaschinen dark.fail (mit Verfügbarkeitsprüfung) TORCH: Tor Search! https://darkfailllnkf4vf.onion.ws/ http://xmh57jrknzkhv6y3ls3ubitzfqnkrwxhopf5aygthi7d6rplyvk3noyd.onion/ Onion Scanner (mit Verfügbarkeitsprüfung) TOR Search Engine http://pvhwsb7a3d2oq73xtr3pzvmrruvswyqgkyahcb7dmbbfftr4qtsmvjid.onion/ http://searchesqafmar2ocusr443hnolhmrxek5xu3hrw3wliwlzmdywvjtqd.onion/ Darknetlive Hoodle http://darkzzx4avcsuofgfez5zq75cqc4mprjvfqywo45dfcaxrwqg6qrlfid.onion/onions/ http://nr2dvqdot7yw6b5poyjb7tzot7fjrrweb2fhugvytbbio7ijkrvicuid.onion/ Darkwebwiki (Clearnet) haystak http://darkwebwiki.org/ http://haystakvxad7wbk5.onion/ TorNode Phobos Darknet Search http://e6wzjohnxejirqa2sgridvymv2jxhrqdfuyxvoxp3xpqh7kr4kbwpwad.onion/ http://phobosxilamwcg75xt22id7aywkzol6q6rfl2flipcqoc4e4ahima5id.onion/ The Hidden Wiki GDARK Darknet Search Engine http://zqktlwiuavvvqqt4ybvgvi7tyo4hjl5xgfuvpdf6otjiycgwqbym2qad.onion/ http://gdarku42fzpyrfra.onion/gdark/search.php The Ultimate Hidden Wiki OnionCenter Search Engine http://uhwikizexyvfhbvpkdb3cu3vzikml4dnmas4ravwgua3zu3ouzfkclid.onion/ http://5qqrlc7hw3tsgokkqifb33p3mrlpnleka2bjg7n46vih2synghb6ycid.onion/javaoff OnionList Submarine - Search Hidden Services http://jh32yv5zgayyyts3.onion/ http://no6m4wzdexe3auiupv2zwif7rm6qwxcyhslkcnzisxgeiw6pvjsgafad.onion/ TorLinks Lighter - Dark Side of Internet http://torlinkbgs6aabns.onion/ http://lighterhrphu4lpb.onion/ OnionDir – Deep Web Link Directory Excavator http://dirnxxdraygbifgc.onion/ http://2fd6cemt4gmccflhm6imvdfvli3nf7zn6rfrwpsy7uhxrgbypvwf5fad.onion/ UnderDir MetaGer http://underdiriled6lvdfgiw4e5urfofuslnz7ewictzf76h4qb73fxbsxad.onion/ http://metagerv65pwclop2rsfzg4jwowpavpwd6grhhlvdgsswvo6ii4akgyd.onion/ Dark Web Links 2021 Google.onion http://dwlonion3o3pjqsl.onion/ http://ggonionvhfq7brmj.onion/ The Dark Web Pug’s Ultimate Guide To The Dark Web Deep Search http://qrtitjevs5nxq6jvrnrjyz5dasi3nbzx24mzmfxnuk2dnzhpphcmgoyd.onion/ http://search7tdrcvri22rieiwgi5g46qnwsesvnubqav2xakhezv4hjzkkad.onion/ DarkTor tordex http://darktorhvabc652txfc575oendhykqcllb7bh7jhhsjduocdlyzdbmqd.onion/ http://tordexu73joywapk2txdr54jed4imqledpcvcuf75qsas2gwdgksvnyd.onion/ TorGate SENTOR https://torgatedga35slsu.onion.ws/ http://e27slbec2ykiyo26gfuovaehuzsydffbit5nlxid53kigw3pvz6uosqd.onion/
5. DEEPWEB- UND DARKNET-RECHERCHE
5. DEEPWEB- UND DARKNET-RECHERCHE PHOBOS-Suchergebnisse Schwachstelle bei REWE GO Markus Platz, externer Mitarbeiter der EDV bei Lekkerland, einer Tochter- firma der REWE AG
6. SOCIAL ENGINEERING/ INFORMATION GATHERING Erfolgschancen Aufwand Phishing Spear- Phishing Whaling
6. SE/ IG: VIDEO- UND BILDERSUCHE Unglaublich viele Daten Was wird gesucht? Wie kann gesucht werden? Google AI Panopto Eigene Software
6. SE/ IG: VIDEO- UND BILDERSUCHE
6. SE/ IG: VIDEO- UND BILDERSUCHE
6. SE/ IG: VIDEO- UND BILDERSUCHE
6. SOCIAL-ENGINEERING: VIDEO- UND BILDERSUCHE
6. SE/ IG: VIDEO- UND BILDERSUCHE
6. SE/ IG: AUDIOSUCHE Suche über „Spaactor“ Suchmaschine wenig ergiebige Suche Trotz zeitlicher Einschränkung entweder sehr hohe Trefferzahl oder keine Treffer Sucheingrenzung zu unspezifisch
6. SE/ IG: SPIDERFOOT HX Extrem mächtiges Tool zur Datensammlung Informationen aus anderen Quellen (Metasuchmaschine) Informationen Über 100 verschiedene öffentliche OSINT-Quellen Schwachstellen modular aufbereitet
6. SE/ IG: SPIDERFOOT HX
7. AUSWAHL DER HOMEPAGE: X-WAYS
7. AUSWAHL DER HOMEPAGE: X-WAYS Ist-Stand Ziel der Seite: Vertrieb von Software-, und Dienstleistungen informieren Zielgruppe: professionelle Anwender, Behörden, Geheimdienste Homepage wirkt altmodisch und unstrukturiert keine echte Einstiegsseite vorhanden sehr viel Text, wenig Bilder, wenig intuitiv eingeschränktes responsive Design nicht barrierefrei Übersetzung auf chinesisch ist nicht durchgängig (in Arbeit) Social-Media-Integration wirkt improvisiert
7. AUSWAHL DER HOMEPAGE: X-WAYS Soll Konzept Google-Ranking verbessern optische Anpassung der Seite auf das Niveau der Wettbewerber bessere Strukturierung der Seite weniger Text sofern leistbar, Integration weiterer Social- Media-Kanäle über Facebook und Twitter hinaus Übersetzung entweder durchgehend gestalten oder entfallen lassen
8. ON- UND OFFPAGE-ANALYSE
8. ON- UND OFFPAGE ANALYSE
9. VERBESSERUNGSMÖGLICHKEITEN Kurzfristige Verbesserungen: H1-Überschrift anpassen Responsive Design verbessern Langfristige Verbesserungen: Komplettes Design modernisieren Erstellung eines Blogs mit hoher Keyword-Dichte inklusive Synonymen YouTube HowTo‘s (nur unzureichend) Mehr Bilder, User zum längeren Verweilen auf der Homepage animieren
VIELEN DANK FÜR EURE AUFMERKSAMKEIT!
Sie können auch lesen