针对企业的信息侦察 – Base on ATT&CK

#以下内容可用在授权下的渗透测试以及挖掘赏金漏洞。

企业 ATT&CK 矩阵

收集受害者身份信息（ https://attack.mitre.org/techniques/T1589/） 

• 攻击者收集有关目标身份的信息。

• 有关身份的信息包括各种详细信息，包括个人数据（例如：员工姓名、电子邮件地址等）以及凭据等敏感详细信息。

证书（ https://attack.mitre.org/techniques/T1589/001/） 

• 攻击者收集可在攻击期间使用的凭据。

• 攻击者收集的帐户凭据与目标受害组织直接相关，或试图利用用户在个人和企业帐户中使用相同密码的趋势。

以下工具和网站允许攻击者收集泄露的凭据

• DeHashed – DeHashed 被描述为最大和最快的数据泄露搜索引擎，其API Key可用于与dehashQuery等其他工具集成以下载泄露结果，如下所示。

• https://www.dehashed.com/

python3 dehashed.py -o -d domain.com -a API-KEY -u user@domain.com 

• We Leak Info ？- 您的密码被泄露了吗？通过搜索超过120 亿条记录和10,000 次数据泄露找出答案。

https://weleakinfo.to/

• IntelligenceX – Intelligence X 是一个搜索引擎和数据存档。通过电子邮件、域、IP、CIDR、比特币地址等搜索Tor、I2P、数据泄露和公共网络。

• https://intelx.io/

Have I Been Pwned? – 允许互联网用户检查他们的个人数据泄露。

https://haveibeenpwned.com/

Email Addresses（ https://attack.mitre.org/techniques/T1589/002/）

以下工具和网站允许攻击者收集电子邮件地址

• Hunter.io – Hunter 是查找和验证电子邮件地址的领先解决方案。

• https://hunter.io/

• EmailHarvester – 从搜索引擎检索电子邮件地址的工具。

• https://github.com/maldevel/EmailHarvester

python3 EmailHarvester.py -d google.com -e all 

• Infoga – Infoga 是一种从不同公共来源（搜索引擎、pgp 密钥服务器和 shodan ）收集电子邮件帐户信息（ip、主机名、国家/地区…）的工具。

• https://github.com/m4ll0k/infoga

python3 infoga.py --domain vmware.com --source all 

• Skymen – 查找公司和人员的电子邮件地址。

• https://www.skymem.info/

员工姓名（ https://attack.mitre.org/techniques/T1589/003/） 

员工姓名用于确定电子邮件地址以及帮助指导其他侦察工作或制作更可信的诱饵。

以下工具可用于收集员工姓名

• linkedin-employee-scraper -从LinkedIn中提取所有员工。对于拥有数千页和员工的公司特别有用。

• https://github.com/ChrisAD/linkedin-employee-scraper

收集受害者网络信息（ https://attack.mitre.org/techniques/T1590/） 

• 攻击者收集有关受害者网络的信息。

• 有关网络的信息包括各种详细信息，包括管理数据（例如：IP 范围、域名等）以及有关其拓扑和操作的详细信息。

域属性（ https://attack.mitre.org/techniques/T1590/001/） 

• 有关域及其属性的信息包括各种详细信息，包括受害者拥有的域以及管理数据（例如：姓名、注册商等）以及更直接的可操作信息，例如联系人（电子邮件地址和电话号码） )、公司地址和名称服务器。

以下工具可用于枚举域属性

• AADInternals – AADInternals 可以使用公共 Microsoft API 收集有关租户域的信息。

• https://github.com/Gerenios/AADInternals

# Get login information for a domain

Get-AADIntLoginInformation -Domain company.com

域名系统（ https://attack.mitre.org/techniques/T1590/002/） 

• 攻击者收集有关目标的 DNS 的信息。

• DNS 信息包括各种详细信息，包括注册的名称服务器以及概述目标子域、邮件服务器和其他主机地址的记录。

以下工具和网站允许攻击者收集 DNS 信息。

• dig – dig 是一个用于查询域名系统的网络管理命令行工具。

• https://toolbox.googleapps.com/apps/dig/

dig google.com 

dig google.com -t mx +short

抓取邮件服务器信息

• host – host 命令是一个DNS 查找实用程序，用于查找域名的IP 地址。

• https://linux.die.net/man/1/host

host google.com 

• dnsenum -dnsenum 是一个枚举 DNS 信息的 perl 脚本。

• https://github.com/fwaeytens/dnsenum

dnsenum --no-reverse google.com

• dns-brute-script – Nmap 将尝试通过暴力破解流行的子域名来枚举 DNS 主机名。

• https://nmap.org/nsedoc/scripts/dns-brute.html

• nmap -T4 -p 53 --script dns-brute google.com 

• dnsrecon – 检查域传输的所有 NS 记录。枚举给定域（MX、SOA、NS、A、AAAA、SPF 和 TXT）的一般 DNS 记录。执行常见的SRV 记录枚举。顶级域(TLD)扩展。

• https://github.com/darkoperator/dnsrecon

dnsrecon -d google.com 

• dnsx – dnsx 是一个快速且多用途的 DNS 工具包，允许使用用户提供的解析器列表运行您选择的多个 DNS 查询。

• https://github.com/projectdiscovery/dnsx

IP 地址（ https://attack.mitre.org/techniques/T1590/005/）

• 攻击者收集的受害者 IP地址。

• 按块或一系列连续地址分配给组织的公共 IP地址。

• 有关分配的 IP 地址的信息包括各种详细信息，例如正在使用的 IP 地址。

• IP 地址还使攻击者能够获取有关受害者的其他详细信息，例如组织规模、物理位置、互联网服务提供商，以及/或托管其面向公众的基础设施的位置/方式。

以下工具和网站允许攻击者收集 IP 地址。

• NetblockTool – 查找公司拥有的网络块

• https://github.com/NetSPI/NetblockTool

python3 NetblockTool.py -v Google

• Hurricane Electric BGP 工具包- Hurricane Electric 运营着全球最大的Internet 协议版本 4 (IPv4) 和 Internet 协议版本 6 (IPv6)传输网络，通过与其他网络的对等互连数量来衡量。

• https://bgp.he.net/

• SurfaceBrowser – 通过简单的基于 Web 的界面了解任何公司的外部 Internet 表面区域。

• https://securitytrails.com/app/sb

• ipinfo.io – 全面的 IP 地址数据，IP地理定位 API。

• https://ipinfo.io/

搜索开放技术数据库（ https://attack.mitre.org/techniques/T1596/）

• 攻击者搜索免费可用的技术数据库，以获取可在攻击期间使用的有关受害者的信息

• 在线数据库和存储库中提供的有关受害者的信息，例如域/证书的注册以及从流量和/或扫描中收集的网络数据/工件的公共集合。

WHOIS（ https://attack.mitre.org/techniques/T1596/002/） 

• 攻击者在公共WHOIS 数据中搜索可在定位期间使用的有关受害者的信息

• WHOIS 数据由负责分配和分配互联网资源（例如域名）的区域互联网注册机构 (RIR)存储 任何人都可以查询 WHOIS 服务器以获取有关注册域的信息，例如分配的IP 块、联系信息和 DNS 名称服务器。

以下工具和网站允许攻击者收集 whois 信息。

• whois – whois 是一个广泛使用的Internet 记录列表，其中包含有关谁拥有域名以及如何与他们取得联系的详细信息。

• https://github.com/weppos/whois

• ICANN 查找- ICANN 注册数据查找工具为您提供了能力。

• https://lookup.icann.org/en/lookup

数字证书（ https://attack.mitre.org/techniques/T1596/003/）

• 攻击者在公共数字证书数据中搜索可在攻击位期间使用的有关受害者的信息。

• 数字证书由证书颁发机构 (CA)颁发，以加密验证签名内容的来源。

• 这些证书，例如用于加密网络流量（HTTPS SSL/TLS 通信）的证书，包含有关注册组织的信息，例如名称和位置。

以下网站允许攻击者收集数字证书信息。

• crt.sh-crt.sh是分布式数据库的 Web 界面，称为证书透明度日志。

• https://crt.sh/

内容分发网络（ https://attack.mitre.org/techniques/T1596/004/） 

• 攻击者搜索的有关受害者的内容交付网络 (CDN)数据。

• CDN 允许组织托管来自分布式负载平衡服务器阵列的内容。

• CDN 还允许组织根据请求者的地理区域定制内容交付。

以下工具允许攻击者收集 CDN 信息。

• findcdn -findCDN 是一个用于帮助准确识别域使用的 CDN 的工具。

• https://github.com/cisagov/findcdn

findcdn list asu.edu -t 7 --double

搜索打开的网站/域（ https://attack.mitre.org/techniques/T1593/）

• 攻击者搜索免费可用的网站/或域，以查找有关受害者的信息。

• 各种在线网站（例如社交媒体、新网站）或托管有关业务运营信息的网站（例如招聘或请求/奖励合同）中提供的有关受害者的信息。

以下工具和网站允许攻击者收集子域信息。

• subfinder – Subfinder 是一个子域发现工具，可以为网站发现有效的子域。

• https://github.com/projectdiscovery/subfinder

subfinder -d google.com -all -v 

• assetfinder – 查找与给定域相关的域和子域。

• https://github.com/tomnomnom/assetfinder

assetfinder --subs-only google.com

• knockknock – 一个简单的反向 whois 查找工具，它返回个人或公司拥有的域列表。

• https://github.com/harleo/knockknock

knockknock -n google.com -p

• findomain – 域识别的完整解决方案。支持截屏、端口扫描、HTTP 检查、从其他工具导入数据、子域监控、通过 Discord、Slack 和 Telegram 发出警报、用于源的多个 API 密钥等等。

• https://github.com/Findomain/Findomain

findomain -t google.com 

• hakrevdns – 用于执行大量反向 DNS 查找的小型快速工具。

• https://github.com/hakluke/hakrevdns

prips 173.0.84.0/24 | hakrevdns -d 

• Amass – 深入的攻击面映射和资产发现。

• https://github.com/OWASP/Amass

amass intel -org 'Sony Corporation of America'  #fetch ASN & CIDR IP Range of a Company 

amass intel -active -asn 3725 -ip   #enumerate subdomains & IP Address from ASN 

amass intel -active -asn 3725    #enumerate subdomains only from ASN 

amass intel -active -cidr 160.33.96.0/23   #enumerate subdomains from cidr range 

amass intel -asn 3725 -whois -d sony.com   #enumerate subdomains using asn & whois 

amass enum -d sony.com -active -cidr 160.33.99.0/24,160.33.96.0/23 -asn 3725   #enumerate subdomains using cidr & asn 

• Google 证书透明度- 此工具允许用户从 SSL 证书收集域和子域。

• https://github.com/rook1337/googlecertfarm

python3 googlecertfarm.py -d google.com 

主动扫描（ https://attack.mitre.org/techniques/T1595/）

• 攻击者执行主动侦察扫描以收集信息。

• 主动扫描是对手通过网络流量探测受害者基础设施的扫描，而不是其他不涉及直接交互的侦察形式。

扫描 IP 块（ https://attack.mitre.org/techniques/T1595/001/） 

• 攻击者扫描受害者 IP 块以收集的信息。

• 公共 IP 地址可以按块或一系列连续地址分配给组织。

以下工具允许攻击者扫描 IP Blocks 信息。

• mapcidr – 一个实用程序，用于对给定的子网/cidr 范围执行多个操作。

• https://github.com/projectdiscovery/mapcidr

mapcidr -cidr 173.0.84.0/24 

• nmap – Nmap 用于通过发送数据包和分析响应来发现计算机网络上的主机和服务。

• https://github.com/nmap/nmap

nmap -v -A scanme.nmap.org  #basic scan for detection 

• naabu – 一个用 go 编写的快速端口扫描器，专注于可靠性和简单性。

• https://github.com/projectdiscovery/naabu

naabu -host 104.16.99.52 

• massscan – TCP 端口扫描器，异步发送 SYN 数据包，在 5 分钟内扫描整个 Internet。

• https://github.com/robertdavidgraham/masscan

masscan 104.16.100.52 -p0-65535 

• Smap -由 shodan.io 提供支持的 Nmap的替代品。

• https://github.com/s0md3v/Smap

smap -sV ipaddress

漏洞扫描（ https://attack.mitre.org/techniques/T1595/002/） 

• 攻击者扫描受害者以查找可使用的漏洞

• 漏洞扫描通常检查目标主机/应用程序的配置（例如：软件和版本）是否可能与攻击者可能寻求使用的特定漏洞的目标一致。

以下工具允许攻击者执行漏洞扫描。

• nuclei – 基于简单 YAML 的 DSL 的快速且可定制的漏洞扫描器。

• https://github.com/projectdiscovery/nuclei

• reNgine – reNgine 是一个 Web 应用程序侦察套件，专注于通过引擎、侦察数据关联、持续监控、数据库支持的侦察数据和简单而直观的用户界面的高度可配置的流线型侦察过程。

• https://github.com/yogeshojha/rengine

• Osmedeus -进攻性安全的工作流引擎。

• https://github.com/j3ssie/osmedeus

• Sn1per Professional – 使用攻击面管理 (ASM) 平台发现攻击面并确定风险优先级。

• https://github.com/1N3/Sn1per

From:https://dhiyaneshgeek.github.io/red/teaming/2022/04/28/reconnaissance-red-teaming/

Reference:
Reconnaissance, Tactic TA0043 – Enterprise | MITRE ATT&CK
Red Team Reconnaissance Techniques
Red Team Assessment Phases: Reconnaissance
Red Teaming Toolkit Reconnaissance

‍