INFORMATIONSRECHERCHE IM INTERNET - REWE GROUP - IT-Forensik Wiki

Die Seite wird erstellt Kuno Springer
 
WEITER LESEN
INFORMATIONSRECHERCHE IM INTERNET - REWE GROUP - IT-Forensik Wiki
INFORMATIONSRECHERCHE IM INTERNET
REWE GROUP
INFORMATIONSRECHERCHE IM INTERNET - REWE GROUP - IT-Forensik Wiki
Inhalt

1.   Auswahl des Unternehmens: REWE Group
2.   Technische Werkzeuge
3.   Personalisierung und technische Aspekte der Suche
4.   Google-Abfragen
5.   DeepWeb- und Darknet-Recherche
6.   Social-Engineering/ Information Gathering
     a.   Video- und Bildersuche
     b.   Audiosuche
     c.   spiderfoot HX
7.   On- und Offpage Analyse
8.   Verbesserungsmöglichkeiten
9.   Fazit und offene Fragerunde
INFORMATIONSRECHERCHE IM INTERNET - REWE GROUP - IT-Forensik Wiki
1. AUSWAHL DES UNTERNEHMENS: REWE GROUP

Wer weiß schon etwas Genaueres über REWE?
INFORMATIONSRECHERCHE IM INTERNET - REWE GROUP - IT-Forensik Wiki
2. TECHNISCHE WERKZEUGE

 Kali Linux
      Nmap
      Social-Engineering-Toolkit
      Metasploit-Framework

 DNSDumpster.com
      A-Records
      MX-Einträge
INFORMATIONSRECHERCHE IM INTERNET - REWE GROUP - IT-Forensik Wiki
2. TECHNISCHE WERKZEUGE
INFORMATIONSRECHERCHE IM INTERNET - REWE GROUP - IT-Forensik Wiki
2. TECHNISCHE WERKZEUGE
INFORMATIONSRECHERCHE IM INTERNET - REWE GROUP - IT-Forensik Wiki
2. TECHNISCHE WERKZEUGE
INFORMATIONSRECHERCHE IM INTERNET - REWE GROUP - IT-Forensik Wiki
3. PERSONALISIERUNG UND TECHNISCHE ASPEKTE DER SUCHE
   Google Testsuche mit: „site:rewe-group.com intitle:login“
   Löschen aller Cookies
       kein Unterschied in den Suchergebnissen identifizierbar
       Kein Unterschied in der Anzeigenwerbung

   Vergleich der Suchergebnisse von Google auf der physikalischen Maschine (OSX – Safari
    Browser) sowie auf einer virtuellen Maschine (Win10 - Firefox)
       Veränderte “Anzeigenwerbung“
       Kein weiterer Unterschied identifizierbar

   Vergleich der Ergebnisse mit VPN-Zugang
       Ebenfalls keine anderen Erkenntnisse

   Vergleich mit weiteren physikalischen Maschine
       1 Ergebnis weniger auf Seite 1 mit Kali-Linux und Firefox

   Vergleich einer Suchabfrage mit Google und Bing
       Deutlich mehr Ergebnisse bei gleicher Abfrage bei Google
       keine weiteren zusätzlichen Ergebnisse bei Bing
       In der weiteren Folge für Google als Suchtool entschieden
INFORMATIONSRECHERCHE IM INTERNET - REWE GROUP - IT-Forensik Wiki
4. GOOGLE-ABFRAGEN

 2 grundsätzliche Suchansätze wurden forciert:
      Auffinden von potentiellen Angriffspunkte mit
       Suchanfragen des Google Hackings, wie: z.B.
          Site: rewe.de | site: rewe-group.com | site: rewe-
           digital.com intext:login
          Site: … intext:open+source
          Site:… filetype:pdf | filetype:doc | filetype …
      Auffinden von persönlichen Informationen wie E-Mail-
       Adressen, Telefonnummern, Bildern, Social–Media-
       Accounts für Social-Engineering-Zwecke
INFORMATIONSRECHERCHE IM INTERNET - REWE GROUP - IT-Forensik Wiki
4. GOOGLE-ABFRAGEN

 Einstieg in die Suche über Bundesanzeiger „REWE“

 Auffinden und Bewerten des aktuellen
   Jahresabschlusses (Beurteilung des Ziels)
 Identifikation verschiedener Funktionäre im Umfeld
   des Jahresabschlusses (Social Engineering)
 Identifikation verschiedener Tochtergesellschaften
   mit eigenen URLs, welche zur spezifischeren Suche
   verwendet wurden
      www.rewe.de
      www.rewe-group.com
      www.rewe-digital.com
4. GOOGLE-ABFRAGEN
 Site:… filetype:pdf | filetype:doc | filetype …

 Über Inhalt sind Ansprechteams identifizierbar mit
   E-Mail-Adressen und Telefonnummern
 Über Metainformationen der Dateien ggf. Namen
   von zwei Rewe-Mitarbeitern
 Ggf. ein Computername o. ä.
4. GOOGLE-ABFRAGEN
 Site:… filetype:pdf | filetype:doc | filetype …

 Auffinden einer Fülle an PDF‘s und Leitfäden,
   Stellenausschreibungen, etc.
 Identifikation von vermutlich eingesetzten
   Programmen über die Stellenprofile
 Identifikation von zwei in Verwendung befindlichen
   Open-Source-Programmen:
    Matomo / Piwik (Webanalytik-Werkzeug für
       Nutzerverhalten)

    Keycloak (SSO, Identity - /Accessmanagementsystem)
 Für beide Programme konnten aktuelle Exploits
   gefunden werden
 Für Keycloak ein Pentest-Report (06/2020) mit
   Hinweis auf die Verwendung in einem Login-Portal
4. GOOGLE-ABFRAGEN

 Google Suche nach Login-Portalen
      Site:… intitle:login

 Insgesamt 13 unterschiedliche Sites aufgefunden
      “Online Shop“
      Zeitmanagement Systeme
      Jobportal
      Lieferantenportal
      nicht näher bezeichnete Seiten

 Der nächste Schritt wäre z.B. Angriff dieser Seiten
   über einen der gefundenen Exploits
4. GOOGLE-ABFRAGEN
 Mittels “Hunter.io“ E-Mail-Strukturen identifiziert
   sowie bereits ca. 300 aktive und teils meist verlinkte
   E-Mail-Adressen von Rewe-Mitarbeiterinnen und
   Mitarbeitern gefunden
 Mittels der identifizierten Personen aus dem
   Jahresabschluss (E-Mail konstruiert) sowie aus
   diversen PDF‘s weitere Google-Abfragen gestartet
 In der Hauptsache wurden hier verschiedene
   Facebook-, LinkedIn- und XING-Accounts ausfindig
   gemacht
 Die ohne Login verfügbaren Informationen geben
   weitere Informationen, wie z.B. einen auszugsweisen
   Lebenslauf und weiter verlinkte Personen preis
 Auf eine weitere Analyse mit ggf. anonymisierten
   Accounts wurde an dieser Stelle verzichtet
4. GOOGLE-ABFRAGEN
 Suche von Aufsichtsratsmitglied Hr. Josef Czok
   (Information dem Bundesanzeiger entnommen)
 Identifikation der E-Mail-Adresse über Hunter.io
      josef.czok@rewe.de – valid
      Czok.josef@rewe.de – invalid
      josef.czok@rewe-group.com – valid
      czok.josef@rewe-group.com – invalid

 Homepage der „Czoks“
4. GOOGLE-ABFRAGEN
 Jill Bohling:

 Facebook- und LinkedIn-Profil vorhanden

 Über Fußball-Bezug vermutlich Geburtsdatum
   identifizierbar
 Ebenso weitere Familienmitglieder, Studienorte,
   Abschlüsse, etc.
5. DEEPWEB- UND DARKNET-RECHERCHE

                                     Datenbanken (Business)
                                          Handelsregister
                                          The Official Board
                                          NORTHDATA
                                          ICRIS Hongkong

                                     „Wilde“ Suche
                                          Welche Möglichkeiten?
                                          Was geben Darknet-
                                           Suchmaschinen her?
5. DEEPWEB- UND DARKNET-RECHERCHE
The Official Board:
 Business-Datenbank zur
   Anbahnung von
   Geschäftsbeziehungen
 Kann zur Identifikation von
   Führungskräften genutzt
   werden (in der
   Bezahlversion auch direkt
   Kontaktdaten liefern)
 Gibt einen Überblick über
   Führungskräfte und
   Tochterunternehmen
5. DEEPWEB- UND DARKNET-RECHERCHE
NORTHDATA-Datenbank:
 Datenbank zur Identifikation von Firmen-
   Verflechtungen und -Historien
 Gibt einen Einblick in die Struktur, das Management
   und weitere Beteiligungen des Ermittlungszieles
5. DEEPWEB- UND DARKNET-RECHERCHE
OpenCorporates-Datenbank
 US-Amerikanische
   Datenbank zur
   Unternehmensrecherche
 Weltweite Ergebnisse

 Führt zu einer asiatischen
   Tochtergesellschaft mit
   geringen Verknüpfungen zu
   europäischen REWE-
   Gesellschaften
5. DEEPWEB- UND DARKNET-RECHERCHE
yasni-Personenrecherche
 Leitende Angestellte
   wurden in der Personen-
   suchmaschine yasni
   gesucht, um zusätzliche,
   nach Möglichkeit private
   Informationen zu erhalten
 Beispiel: Jan Kunath

 Identifizierte, privat
   genutzte E-Mail-Adresse:
   schatzmeister@glckoeln.de
5. DEEPWEB- UND DARKNET-RECHERCHE
Genutzte Verzeichnisdienste                                                     Genutzte Darknet-Suchmaschinen
dark.fail (mit Verfügbarkeitsprüfung)                                           TORCH: Tor Search!
https://darkfailllnkf4vf.onion.ws/                                              http://xmh57jrknzkhv6y3ls3ubitzfqnkrwxhopf5aygthi7d6rplyvk3noyd.onion/
Onion Scanner (mit Verfügbarkeitsprüfung)                                       TOR Search Engine
http://pvhwsb7a3d2oq73xtr3pzvmrruvswyqgkyahcb7dmbbfftr4qtsmvjid.onion/          http://searchesqafmar2ocusr443hnolhmrxek5xu3hrw3wliwlzmdywvjtqd.onion/
Darknetlive                                                                     Hoodle
http://darkzzx4avcsuofgfez5zq75cqc4mprjvfqywo45dfcaxrwqg6qrlfid.onion/onions/   http://nr2dvqdot7yw6b5poyjb7tzot7fjrrweb2fhugvytbbio7ijkrvicuid.onion/
Darkwebwiki (Clearnet)                                                          haystak
http://darkwebwiki.org/                                                         http://haystakvxad7wbk5.onion/
TorNode                                                                         Phobos Darknet Search
http://e6wzjohnxejirqa2sgridvymv2jxhrqdfuyxvoxp3xpqh7kr4kbwpwad.onion/          http://phobosxilamwcg75xt22id7aywkzol6q6rfl2flipcqoc4e4ahima5id.onion/
The Hidden Wiki                                                                 GDARK Darknet Search Engine
http://zqktlwiuavvvqqt4ybvgvi7tyo4hjl5xgfuvpdf6otjiycgwqbym2qad.onion/          http://gdarku42fzpyrfra.onion/gdark/search.php
The Ultimate Hidden Wiki                                                        OnionCenter Search Engine
http://uhwikizexyvfhbvpkdb3cu3vzikml4dnmas4ravwgua3zu3ouzfkclid.onion/          http://5qqrlc7hw3tsgokkqifb33p3mrlpnleka2bjg7n46vih2synghb6ycid.onion/javaoff
OnionList                                                                       Submarine - Search Hidden Services
http://jh32yv5zgayyyts3.onion/                                                  http://no6m4wzdexe3auiupv2zwif7rm6qwxcyhslkcnzisxgeiw6pvjsgafad.onion/
TorLinks                                                                        Lighter - Dark Side of Internet
http://torlinkbgs6aabns.onion/                                                  http://lighterhrphu4lpb.onion/
OnionDir – Deep Web Link Directory                                              Excavator
http://dirnxxdraygbifgc.onion/                                                  http://2fd6cemt4gmccflhm6imvdfvli3nf7zn6rfrwpsy7uhxrgbypvwf5fad.onion/
UnderDir                                                                        MetaGer
http://underdiriled6lvdfgiw4e5urfofuslnz7ewictzf76h4qb73fxbsxad.onion/          http://metagerv65pwclop2rsfzg4jwowpavpwd6grhhlvdgsswvo6ii4akgyd.onion/
Dark Web Links 2021                                                             Google.onion
http://dwlonion3o3pjqsl.onion/                                                  http://ggonionvhfq7brmj.onion/
The Dark Web Pug’s Ultimate Guide To The Dark Web                               Deep Search
http://qrtitjevs5nxq6jvrnrjyz5dasi3nbzx24mzmfxnuk2dnzhpphcmgoyd.onion/          http://search7tdrcvri22rieiwgi5g46qnwsesvnubqav2xakhezv4hjzkkad.onion/
DarkTor                                                                         tordex
http://darktorhvabc652txfc575oendhykqcllb7bh7jhhsjduocdlyzdbmqd.onion/          http://tordexu73joywapk2txdr54jed4imqledpcvcuf75qsas2gwdgksvnyd.onion/
TorGate                                                                         SENTOR
https://torgatedga35slsu.onion.ws/                                              http://e27slbec2ykiyo26gfuovaehuzsydffbit5nlxid53kigw3pvz6uosqd.onion/
5. DEEPWEB- UND DARKNET-RECHERCHE
5. DEEPWEB- UND DARKNET-RECHERCHE

                      PHOBOS-Suchergebnisse
                       Schwachstelle bei REWE GO

                       Markus Platz, externer
                         Mitarbeiter der EDV bei
                         Lekkerland, einer Tochter-
                         firma der REWE AG
6. SOCIAL ENGINEERING/ INFORMATION GATHERING

           Erfolgschancen                  Aufwand
                                Phishing

                             Spear-
                            Phishing

                                 Whaling
6. SE/ IG: VIDEO- UND BILDERSUCHE

 Unglaublich viele Daten

 Was wird gesucht?

 Wie kann gesucht werden?

 Google AI

 Panopto

 Eigene Software
6. SE/ IG: VIDEO- UND BILDERSUCHE
6. SE/ IG: VIDEO- UND BILDERSUCHE
6. SE/ IG: VIDEO- UND BILDERSUCHE
6. SOCIAL-ENGINEERING: VIDEO- UND BILDERSUCHE
6. SE/ IG: VIDEO- UND BILDERSUCHE
6. SE/ IG: AUDIOSUCHE

 Suche über „Spaactor“ Suchmaschine

 wenig ergiebige Suche

 Trotz zeitlicher Einschränkung entweder
   sehr hohe Trefferzahl
 oder keine Treffer

 Sucheingrenzung zu unspezifisch
6. SE/ IG: SPIDERFOOT HX
 Extrem mächtiges Tool zur Datensammlung    Informationen aus anderen Quellen (Metasuchmaschine)
      Informationen                              Über 100 verschiedene öffentliche OSINT-Quellen
      Schwachstellen                             modular aufbereitet
6. SE/ IG: SPIDERFOOT HX
7. AUSWAHL DER HOMEPAGE: X-WAYS
7. AUSWAHL DER HOMEPAGE: X-WAYS

   Ist-Stand
       Ziel der Seite:
           Vertrieb von Software-, und Dienstleistungen
           informieren

       Zielgruppe: professionelle Anwender,
        Behörden, Geheimdienste
       Homepage wirkt altmodisch und unstrukturiert
       keine echte Einstiegsseite vorhanden
       sehr viel Text, wenig Bilder, wenig intuitiv
       eingeschränktes responsive Design
       nicht barrierefrei
       Übersetzung auf chinesisch ist nicht
        durchgängig (in Arbeit)
       Social-Media-Integration wirkt improvisiert
7. AUSWAHL DER HOMEPAGE: X-WAYS

 Soll Konzept
      Google-Ranking verbessern
      optische Anpassung der Seite auf das
       Niveau der Wettbewerber
      bessere Strukturierung der Seite
      weniger Text
      sofern leistbar, Integration weiterer Social-
       Media-Kanäle über Facebook und Twitter
       hinaus
      Übersetzung entweder durchgehend
       gestalten oder entfallen lassen
8. ON- UND OFFPAGE-ANALYSE
8. ON- UND OFFPAGE ANALYSE
9. VERBESSERUNGSMÖGLICHKEITEN

 Kurzfristige Verbesserungen:
      H1-Überschrift anpassen
      Responsive Design verbessern

 Langfristige Verbesserungen:
      Komplettes Design modernisieren
      Erstellung eines Blogs mit hoher Keyword-Dichte inklusive
       Synonymen
      YouTube HowTo‘s (nur unzureichend)
      Mehr Bilder, User zum längeren Verweilen auf der
       Homepage animieren
VIELEN DANK FÜR EURE AUFMERKSAMKEIT!
Sie können auch lesen