INFORMATIONSRECHERCHE IM INTERNET - REWE GROUP - IT-Forensik Wiki
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
INFORMATIONSRECHERCHE IM INTERNET REWE GROUP
Inhalt
1. Auswahl des Unternehmens: REWE Group
2. Technische Werkzeuge
3. Personalisierung und technische Aspekte der Suche
4. Google-Abfragen
5. DeepWeb- und Darknet-Recherche
6. Social-Engineering/ Information Gathering
a. Video- und Bildersuche
b. Audiosuche
c. spiderfoot HX
7. On- und Offpage Analyse
8. Verbesserungsmöglichkeiten
9. Fazit und offene Fragerunde
1. AUSWAHL DES UNTERNEHMENS: REWE GROUP Wer weiß schon etwas Genaueres über REWE?
2. TECHNISCHE WERKZEUGE Kali Linux Nmap Social-Engineering-Toolkit Metasploit-Framework DNSDumpster.com A-Records MX-Einträge
2. TECHNISCHE WERKZEUGE
2. TECHNISCHE WERKZEUGE
2. TECHNISCHE WERKZEUGE
3. PERSONALISIERUNG UND TECHNISCHE ASPEKTE DER SUCHE
Google Testsuche mit: „site:rewe-group.com intitle:login“
Löschen aller Cookies
kein Unterschied in den Suchergebnissen identifizierbar
Kein Unterschied in der Anzeigenwerbung
Vergleich der Suchergebnisse von Google auf der physikalischen Maschine (OSX – Safari
Browser) sowie auf einer virtuellen Maschine (Win10 - Firefox)
Veränderte “Anzeigenwerbung“
Kein weiterer Unterschied identifizierbar
Vergleich der Ergebnisse mit VPN-Zugang
Ebenfalls keine anderen Erkenntnisse
Vergleich mit weiteren physikalischen Maschine
1 Ergebnis weniger auf Seite 1 mit Kali-Linux und Firefox
Vergleich einer Suchabfrage mit Google und Bing
Deutlich mehr Ergebnisse bei gleicher Abfrage bei Google
keine weiteren zusätzlichen Ergebnisse bei Bing
In der weiteren Folge für Google als Suchtool entschieden
4. GOOGLE-ABFRAGEN
2 grundsätzliche Suchansätze wurden forciert:
Auffinden von potentiellen Angriffspunkte mit
Suchanfragen des Google Hackings, wie: z.B.
Site: rewe.de | site: rewe-group.com | site: rewe-
digital.com intext:login
Site: … intext:open+source
Site:… filetype:pdf | filetype:doc | filetype …
Auffinden von persönlichen Informationen wie E-Mail-
Adressen, Telefonnummern, Bildern, Social–Media-
Accounts für Social-Engineering-Zwecke
4. GOOGLE-ABFRAGEN Einstieg in die Suche über Bundesanzeiger „REWE“ Auffinden und Bewerten des aktuellen Jahresabschlusses (Beurteilung des Ziels) Identifikation verschiedener Funktionäre im Umfeld des Jahresabschlusses (Social Engineering) Identifikation verschiedener Tochtergesellschaften mit eigenen URLs, welche zur spezifischeren Suche verwendet wurden www.rewe.de www.rewe-group.com www.rewe-digital.com
4. GOOGLE-ABFRAGEN Site:… filetype:pdf | filetype:doc | filetype … Über Inhalt sind Ansprechteams identifizierbar mit E-Mail-Adressen und Telefonnummern Über Metainformationen der Dateien ggf. Namen von zwei Rewe-Mitarbeitern Ggf. ein Computername o. ä.
4. GOOGLE-ABFRAGEN
Site:… filetype:pdf | filetype:doc | filetype …
Auffinden einer Fülle an PDF‘s und Leitfäden,
Stellenausschreibungen, etc.
Identifikation von vermutlich eingesetzten
Programmen über die Stellenprofile
Identifikation von zwei in Verwendung befindlichen
Open-Source-Programmen:
Matomo / Piwik (Webanalytik-Werkzeug für
Nutzerverhalten)
Keycloak (SSO, Identity - /Accessmanagementsystem)
Für beide Programme konnten aktuelle Exploits
gefunden werden
Für Keycloak ein Pentest-Report (06/2020) mit
Hinweis auf die Verwendung in einem Login-Portal4. GOOGLE-ABFRAGEN Google Suche nach Login-Portalen Site:… intitle:login Insgesamt 13 unterschiedliche Sites aufgefunden “Online Shop“ Zeitmanagement Systeme Jobportal Lieferantenportal nicht näher bezeichnete Seiten Der nächste Schritt wäre z.B. Angriff dieser Seiten über einen der gefundenen Exploits
4. GOOGLE-ABFRAGEN Mittels “Hunter.io“ E-Mail-Strukturen identifiziert sowie bereits ca. 300 aktive und teils meist verlinkte E-Mail-Adressen von Rewe-Mitarbeiterinnen und Mitarbeitern gefunden Mittels der identifizierten Personen aus dem Jahresabschluss (E-Mail konstruiert) sowie aus diversen PDF‘s weitere Google-Abfragen gestartet In der Hauptsache wurden hier verschiedene Facebook-, LinkedIn- und XING-Accounts ausfindig gemacht Die ohne Login verfügbaren Informationen geben weitere Informationen, wie z.B. einen auszugsweisen Lebenslauf und weiter verlinkte Personen preis Auf eine weitere Analyse mit ggf. anonymisierten Accounts wurde an dieser Stelle verzichtet
4. GOOGLE-ABFRAGEN Suche von Aufsichtsratsmitglied Hr. Josef Czok (Information dem Bundesanzeiger entnommen) Identifikation der E-Mail-Adresse über Hunter.io josef.czok@rewe.de – valid Czok.josef@rewe.de – invalid josef.czok@rewe-group.com – valid czok.josef@rewe-group.com – invalid Homepage der „Czoks“
4. GOOGLE-ABFRAGEN Jill Bohling: Facebook- und LinkedIn-Profil vorhanden Über Fußball-Bezug vermutlich Geburtsdatum identifizierbar Ebenso weitere Familienmitglieder, Studienorte, Abschlüsse, etc.
5. DEEPWEB- UND DARKNET-RECHERCHE
Datenbanken (Business)
Handelsregister
The Official Board
NORTHDATA
ICRIS Hongkong
„Wilde“ Suche
Welche Möglichkeiten?
Was geben Darknet-
Suchmaschinen her?5. DEEPWEB- UND DARKNET-RECHERCHE The Official Board: Business-Datenbank zur Anbahnung von Geschäftsbeziehungen Kann zur Identifikation von Führungskräften genutzt werden (in der Bezahlversion auch direkt Kontaktdaten liefern) Gibt einen Überblick über Führungskräfte und Tochterunternehmen
5. DEEPWEB- UND DARKNET-RECHERCHE NORTHDATA-Datenbank: Datenbank zur Identifikation von Firmen- Verflechtungen und -Historien Gibt einen Einblick in die Struktur, das Management und weitere Beteiligungen des Ermittlungszieles
5. DEEPWEB- UND DARKNET-RECHERCHE OpenCorporates-Datenbank US-Amerikanische Datenbank zur Unternehmensrecherche Weltweite Ergebnisse Führt zu einer asiatischen Tochtergesellschaft mit geringen Verknüpfungen zu europäischen REWE- Gesellschaften
5. DEEPWEB- UND DARKNET-RECHERCHE yasni-Personenrecherche Leitende Angestellte wurden in der Personen- suchmaschine yasni gesucht, um zusätzliche, nach Möglichkeit private Informationen zu erhalten Beispiel: Jan Kunath Identifizierte, privat genutzte E-Mail-Adresse: schatzmeister@glckoeln.de
5. DEEPWEB- UND DARKNET-RECHERCHE Genutzte Verzeichnisdienste Genutzte Darknet-Suchmaschinen dark.fail (mit Verfügbarkeitsprüfung) TORCH: Tor Search! https://darkfailllnkf4vf.onion.ws/ http://xmh57jrknzkhv6y3ls3ubitzfqnkrwxhopf5aygthi7d6rplyvk3noyd.onion/ Onion Scanner (mit Verfügbarkeitsprüfung) TOR Search Engine http://pvhwsb7a3d2oq73xtr3pzvmrruvswyqgkyahcb7dmbbfftr4qtsmvjid.onion/ http://searchesqafmar2ocusr443hnolhmrxek5xu3hrw3wliwlzmdywvjtqd.onion/ Darknetlive Hoodle http://darkzzx4avcsuofgfez5zq75cqc4mprjvfqywo45dfcaxrwqg6qrlfid.onion/onions/ http://nr2dvqdot7yw6b5poyjb7tzot7fjrrweb2fhugvytbbio7ijkrvicuid.onion/ Darkwebwiki (Clearnet) haystak http://darkwebwiki.org/ http://haystakvxad7wbk5.onion/ TorNode Phobos Darknet Search http://e6wzjohnxejirqa2sgridvymv2jxhrqdfuyxvoxp3xpqh7kr4kbwpwad.onion/ http://phobosxilamwcg75xt22id7aywkzol6q6rfl2flipcqoc4e4ahima5id.onion/ The Hidden Wiki GDARK Darknet Search Engine http://zqktlwiuavvvqqt4ybvgvi7tyo4hjl5xgfuvpdf6otjiycgwqbym2qad.onion/ http://gdarku42fzpyrfra.onion/gdark/search.php The Ultimate Hidden Wiki OnionCenter Search Engine http://uhwikizexyvfhbvpkdb3cu3vzikml4dnmas4ravwgua3zu3ouzfkclid.onion/ http://5qqrlc7hw3tsgokkqifb33p3mrlpnleka2bjg7n46vih2synghb6ycid.onion/javaoff OnionList Submarine - Search Hidden Services http://jh32yv5zgayyyts3.onion/ http://no6m4wzdexe3auiupv2zwif7rm6qwxcyhslkcnzisxgeiw6pvjsgafad.onion/ TorLinks Lighter - Dark Side of Internet http://torlinkbgs6aabns.onion/ http://lighterhrphu4lpb.onion/ OnionDir – Deep Web Link Directory Excavator http://dirnxxdraygbifgc.onion/ http://2fd6cemt4gmccflhm6imvdfvli3nf7zn6rfrwpsy7uhxrgbypvwf5fad.onion/ UnderDir MetaGer http://underdiriled6lvdfgiw4e5urfofuslnz7ewictzf76h4qb73fxbsxad.onion/ http://metagerv65pwclop2rsfzg4jwowpavpwd6grhhlvdgsswvo6ii4akgyd.onion/ Dark Web Links 2021 Google.onion http://dwlonion3o3pjqsl.onion/ http://ggonionvhfq7brmj.onion/ The Dark Web Pug’s Ultimate Guide To The Dark Web Deep Search http://qrtitjevs5nxq6jvrnrjyz5dasi3nbzx24mzmfxnuk2dnzhpphcmgoyd.onion/ http://search7tdrcvri22rieiwgi5g46qnwsesvnubqav2xakhezv4hjzkkad.onion/ DarkTor tordex http://darktorhvabc652txfc575oendhykqcllb7bh7jhhsjduocdlyzdbmqd.onion/ http://tordexu73joywapk2txdr54jed4imqledpcvcuf75qsas2gwdgksvnyd.onion/ TorGate SENTOR https://torgatedga35slsu.onion.ws/ http://e27slbec2ykiyo26gfuovaehuzsydffbit5nlxid53kigw3pvz6uosqd.onion/
5. DEEPWEB- UND DARKNET-RECHERCHE
5. DEEPWEB- UND DARKNET-RECHERCHE
PHOBOS-Suchergebnisse
Schwachstelle bei REWE GO
Markus Platz, externer
Mitarbeiter der EDV bei
Lekkerland, einer Tochter-
firma der REWE AG6. SOCIAL ENGINEERING/ INFORMATION GATHERING
Erfolgschancen Aufwand
Phishing
Spear-
Phishing
Whaling6. SE/ IG: VIDEO- UND BILDERSUCHE Unglaublich viele Daten Was wird gesucht? Wie kann gesucht werden? Google AI Panopto Eigene Software
6. SE/ IG: VIDEO- UND BILDERSUCHE
6. SE/ IG: VIDEO- UND BILDERSUCHE
6. SE/ IG: VIDEO- UND BILDERSUCHE
6. SOCIAL-ENGINEERING: VIDEO- UND BILDERSUCHE
6. SE/ IG: VIDEO- UND BILDERSUCHE
6. SE/ IG: AUDIOSUCHE Suche über „Spaactor“ Suchmaschine wenig ergiebige Suche Trotz zeitlicher Einschränkung entweder sehr hohe Trefferzahl oder keine Treffer Sucheingrenzung zu unspezifisch
6. SE/ IG: SPIDERFOOT HX Extrem mächtiges Tool zur Datensammlung Informationen aus anderen Quellen (Metasuchmaschine) Informationen Über 100 verschiedene öffentliche OSINT-Quellen Schwachstellen modular aufbereitet
6. SE/ IG: SPIDERFOOT HX
7. AUSWAHL DER HOMEPAGE: X-WAYS
7. AUSWAHL DER HOMEPAGE: X-WAYS
Ist-Stand
Ziel der Seite:
Vertrieb von Software-, und Dienstleistungen
informieren
Zielgruppe: professionelle Anwender,
Behörden, Geheimdienste
Homepage wirkt altmodisch und unstrukturiert
keine echte Einstiegsseite vorhanden
sehr viel Text, wenig Bilder, wenig intuitiv
eingeschränktes responsive Design
nicht barrierefrei
Übersetzung auf chinesisch ist nicht
durchgängig (in Arbeit)
Social-Media-Integration wirkt improvisiert7. AUSWAHL DER HOMEPAGE: X-WAYS
Soll Konzept
Google-Ranking verbessern
optische Anpassung der Seite auf das
Niveau der Wettbewerber
bessere Strukturierung der Seite
weniger Text
sofern leistbar, Integration weiterer Social-
Media-Kanäle über Facebook und Twitter
hinaus
Übersetzung entweder durchgehend
gestalten oder entfallen lassen8. ON- UND OFFPAGE-ANALYSE
8. ON- UND OFFPAGE ANALYSE
9. VERBESSERUNGSMÖGLICHKEITEN
Kurzfristige Verbesserungen:
H1-Überschrift anpassen
Responsive Design verbessern
Langfristige Verbesserungen:
Komplettes Design modernisieren
Erstellung eines Blogs mit hoher Keyword-Dichte inklusive
Synonymen
YouTube HowTo‘s (nur unzureichend)
Mehr Bilder, User zum längeren Verweilen auf der
Homepage animierenVIELEN DANK FÜR EURE AUFMERKSAMKEIT!
Sie können auch lesen
