Gebruik Mitaka om in-browser OSINT uit te voeren om malware, duistere e-mails en meer te identificeren
Webbrowser-extensies zijn een van de eenvoudigste manieren om aan de slag te gaan met open-source intelligence-tools, omdat ze platformonafhankelijk zijn. Dus iedereen die Chrome op Linux, macOS en Windows gebruikt, kan ze allemaal hetzelfde gebruiken. Hetzelfde geldt voor Firefox. Met name één add-on voor een desktopbrowser maakt OSINT net zo eenvoudig als rechtsklikken om te zoeken naar hashes, e-mailadressen en URL's.
Mitaka, gemaakt door Manabu Niseki , werkt in Google Chrome en Mozilla Firefox. Eenmaal geïnstalleerd, kun je bepaalde stukjes tekst en indicatoren van compromis (IoC) selecteren en inspecteren, en ze door verschillende zoekmachines laten lopen. Allemaal met slechts een paar klikken. De tool kan onderzoekers helpen malware te identificeren, de geloofwaardigheid van een e-mailadres te bepalen en zien of een URL wordt geassocieerd met iets vaag, om maar een paar dingen te noemen.
Mitaka in je browser installeren
Als je ooit eerder een browserextensie heeft geïnstalleerd, weet je wat je moet doen. Zelfs als dat niet het geval is, kan het niet eenvoudiger zijn. Bezoek gewoon Mitaka in de Chrome Web Store of Firefox-add-ons , klik op "Toevoegen aan Chrome" of "Toevoegen aan Firefox" en selecteer vervolgens "Toevoegen" om te verifiëren.
Als je eenmaal iets interessants hebt gevonden op een website of in een e-mail die je onderzoekt, hoef je het alleen maar te markeren en er met de rechtermuisknop op te klikken, en vervolgens alle opties te bekijken die Mitaka in het contextmenu biedt. Op de GitHub-pagina voor Mitaka zijn er een paar voorbeelden die het proberen waard zijn om te zien hoe goed Mitaka werkt.
E-mailadressen inspecteren
Telkens wanneer je een e-mailadres ziet waarvan je vermoedt dat het schadelijk is, of het nu is verdedigd (verduisterd zodat er niet op kan worden geklikt) of klikbaar, kun je het markeren, er met de rechtermuisknop op klikken en vervolgens "Mitaka" kiezen. Als het defanged (niet werkend) is, wat meestal betekent dat [.] wordt geplaatst waar reguliere periodes de link verbreken, zal Mitaka het opnieuw inschakelen zodat elke zoekopdracht die je uitvoert nog steeds werkt.
In het Mitaka-menu ziet je verschillende tools die je kunt gebruiken om het e-mailadres te inspecteren en te onderzoeken. Er zijn zoekopdrachten die je kunt uitvoeren op Censys, PublicWWW, DomainBigData, DomainWatch, EmailRep, IntelligenceX, OCCPR, RiskIQ, SecurityTrails, ThreatConnect, ThreatCrowd en ViewDNS. Als je bijvoorbeeld meer wilt weten over de e-mailreputatie, kiest je 'Zoek in deze e-mail op EmailRep'.
Uit de resultaten kun je zien dat test@example.com waarschijnlijk niet een is die we moeten vertrouwen. In feite kun je uit dit rapport zien dat het op de zwarte lijst staat en gemarkeerd is wegens kwaadaardige activiteit.
Dus als we een e-mailadres zouden vinden of ontvangen dat op deze manier was gemarkeerd, zou je heel snel kunnen vaststellen dat het verband hield met iemand die op de zwarte lijst stond voor malware, of mogelijk iets als phishing, en dat zou een uitstekende manier zijn om een riskante afzender of gebruiker te identificeren.
Omgekeerd, laten we zeggen dat we kijken naar een inbreuk op de wachtwoorden van verschillende mensen, en we willen bepalen of een echt persoon al dan niet eigenaar is van een e-mailadres. We kunnen een correct gevormd e-mailadres nemen, er met de rechtermuisknop op klikken, "Mitaka" selecteren en vervolgens dezelfde EmailRep-tool gebruiken om te controleren.
Uit dit rapport kunnen we aannemen dat het waarschijnlijk een echt persoon is, omdat het e-mailadres is gezien in 27 betrouwbare bronnen op internet, waaronder Vimeo, Pinterest en Aboutme. In de code kunnen we alle informatie zien over de verschillende soorten profielen van hoge kwaliteit die aan het e-mailadres zijn gekoppeld, wat het account verder als echt legitimeert.
Malware-analyse uitvoeren op bestanden
Malware-analyse is een ander opwindend hulpmiddel in het arsenaal van Mitaka. Laten we zeggen dat we ons op een website bevinden en dat we een bestand hebben dat we willen downloaden. We hebben eerder van de tool gehoord, het ziet er betrouwbaar uit en de web-app lijkt goed. Zodra we het bestand hebben gedownload, kunnen we de hash vergelijken met die op de site. Als de hash-waarde (uitleg verderop) overeenkomt, weten we dat we het bestand hebben gedownload dat de auteur van de site heeft bedoeld, maar hoe weten we of het bestand echt in orde is?
Als een virusscanner het niet op de computer opvangt, kun je altijd de hash van het bestand dat op de website staat, er met de rechtermuisknop op klikken, "Mitaka" kiezen en vervolgens zoiets als VirusTotal gebruiken. Deze scanner kan mogelijk verdachte bestanden identificeren door naar de hash te kijken en te proberen te achterhalen of deze uw computer kan beschadigen.
Mitaka is dus een behoorlijk effectieve manier om te controleren of een bestand dat je op internet tegenkomt, is gemarkeerd omdat het verdacht is met behulp van tools zoals VirusTotal of een andere gegevensbron. Beschikbaar in het menu voor dit soort zoekopdrachten zijn Censys, PublicWWW, ANY.RUN, Apklab, Hashdd, HybridAnalysis, InQuest, Intezer, JoeSandbox, MalShare, Maltiverse, MalwareBazaar, Malwares, OpenTIP, OTX, Pulsedive, Scumware, ThreatMiner, VirusTotal, VMRay, VxCube en X-Force-Exchange.
Controleren of een website verdacht is.
Je kunt ook URL-zoekopdrachten uitvoeren met Mitaka. Als we naar een big data-dump kijken, of als we alleen willen zien of een bepaalde URL op een webpagina of e-mail is geïdentificeerd met iets vaag, kunnen we met de rechtermuisknop op de link klikken, 'Mitaka' kiezen en vervolgens selecteren uit een van de tools.
Beschikbare tools voor dit soort zoekopdrachten zijn Censys, PublicWWW, BinaryEdge, crt.sh, DNSlytics, DomainBigData, DomainTools, DomainWatch, FOFA, GoogleSafeBrowsing, GreyNoise, Hashdd, HurricaneElectric, HybridAnalysis, IntelligenceX, Maltiverse, OTX, Pulsedive, RiskIQtex Scumware, SecurityTrails, Shodan, SpyOnWeb, Spyse, Talos, ThreatConnect, ThreatCrowd, ThreatMiner, TIP, URLhaus, Urlscan, ViewDNS, VirusTotal, VxCube, WebAnalyzer en X-Force-Exchange.
Uitleg hash-waarde
Een hash-waarde (of hashes) is het best te vergelijken met een digitale vingerafdruk. Het identificeert iedere tekstreeks of bestand via een reeks getallen. Als twee bestanden of tekenreeksen dezelfde hash-waarde hebben dan kan je er (bijna) zeker van zijn dat ze identiek zijn. Voorkomende hash-formules zijn MD5, SHA-1, SHA-224, SHA-256, SHA-384...
Als u de hash-waarde voor een specifiek bestand wilt achterhalen, moet u een hash-algoritme zoals een MD5- of SHA1- hash-algoritme toepassen en daarvoor moet u een hulpprogramma van derden gebruiken. Wat nutsbedrijven van derden betreft die kunnen worden gebruikt om de integriteit van een bestand te verifiëren door ahs-algoritmen toe te passen, zijn de MD5 en SHA-1 Checksum Utility ongeëvenaard.
Dit was slechts een kort overzicht. Als je met Mitaka aan de slag wilt, moet je alle verschillende gegevenstypen doorlopen, iets op een website of e-mail markeren, dan met de rechtermuisknop klikken en je Mitaka-zoekopdracht kiezen. Er zijn veel beschikbare bronnen, en het kan in het begin overweldigend zijn, maar dat betekent alleen dat Mitaka een waardevol hulpmiddel is met talloze nuttige zoekopdrachten binnen handbereik. (bron: Null-byte)
© 2020 VEILIG DIGITAAL