Distro Línux/OSINT

Distro Línux OSINT

El objetivo del trabajo fue modificar una distribución estable de Linux (Ubuntu 20.02 LTS) para convertirla en una distribución Linux dedicada a la investigación de fuentes abiertas OSINT.

Distro Linux/OSINT. Automatización en Bash

Miguel Navarro

Por Miguel Navarro

Alumno de la 7ª edición del Máster en Ciberseguridad

Esto se consiguió modificando la distribución base en varios apartados:

  1. Instalación de varias herramientas OSINT, ya sean herramientas descargables a través de Github o herramientas disponibles a través de los repositorios propios de la distribución elegida, si están disponibles.
  2. Instalación de extensiones del navegador Firefox que faciliten la tarea del investigador OSINT.
  3. Construcción de un sistema de marcadores en el navegador de la distribución, Firefox, de uso frecuente para el usuario potencial de la distribución y dirigidas a la obtención de información en fuentes abiertas.

Todo el trabajo de modificación de la distro base se apoya en un script escrito en bash. Este script ns21osint.sh, disponible en GitHub, es el encargado de instalar la mayoría de las herramientas, usando los comandos más genéricos posible con objeto de que sirva también para otras distribuciones basadas en el sistema de paquetes apt, esto es, Debian y derivadas.
Las herramientas que el script instala tienen en su mayoría licencia abierta u opciones de uso gratuito.

Herramientas incluidas

Correo electrónico

theHardvesterRecopila correos electrónicos, nombres, subdominios, IP’s y URL’s.

Herramientas generalistas

Maltego
Información sobre personas y empresas en Internet.
Recon-ngFramework de reconocimiento escrito en Python.
OsrframeworkDesarrollado por los españoles Félix Brezo y Yaiza Rubio, agrupa un conjunto de bibliotecas que permiten realizar tareas de inteligencia de manera rápida y automática.
Dante OSINTOrganizador de la información que está publicada en Internet sobre una persona, agrupando el contenido existente de su identidad digital mediante el análisis de diversas fuentes y el uso de algoritmos.
Spiderfoot
Escanea los siguientes objetivos: • Direcciones IP’s
Dominios y subdominios
Hostname
Redes (CIDR)
Direcciones email
Nombres de usuario
Nombres de persona
Direcciones Bitcoin

IP’s y dominios

DMitryDMitry es una aplicación en línea de comandos escrita en C. Tiene la capacidad de recopilar mucha información sobre un host.

Metadatos

ExiftoolLeer, escribir y editar meta información de una gran variedad de ficheros. Soporta ficheros de imágenes, ofimática, música, etc.…

Redes Sociales

NexfilHerramienta de OSINT para encontrar perfiles de usuario proporcionando el nombre de usuario.
OsingramHerramienta de OSINT para la red social Instagram.

Marcadores para Firefox

Buscadores Generalistas

Google
Bing
Baidu
Yandex
DuckDuckGo
Google Hacking Database
WaybackMachine
OSINT Framework
Carrot2 Search

Buscadores de Servicios e Imágenes

ShodanShodan es un buscador web que tiene como objetivo ubicar todo tipo de dispositivos que estén conectados a internet, como pueden ser routers, AP’s, dispositivos IoT, servidores e incluso cámaras de seguridad.
Google Imágenes (Búsqueda inversa)Google imágenes es la funcionalidad que ofrece el buscador para encontrar fotografías, dibujos, infografías y otros elementos visuales.
Censys SearchCensys es un motor que permite realizar búsquedas y proporciona respuestas a los investigadores sobre los hosts y la red y diversos objetivos que componen Internet.
ZoomeyeZoomeye es un motor de búsqueda que se utiliza principalmente para ver los dispositivos que ofrecen puertos abiertos en Internet.

Correos electrónicos

Have I Been PwnedHave I Been Pwned contiene una base de datos gigantesca en la que se van añadiendo los datos de filtraciones que van apareciendo públicamente.
ViewDNSViewDNS.info se puede considerar la navaja suiza de la información sobre los dominios.
LeakeSourceUn servicio equivalente a Have I Been Pwned de origen ruso.

Direcciones IP

DNSDumpsterEs una herramienta de investigación que nos ayuda a encontrar información relacionada con el host.
ipinfoGeolocalizar una dirección IP es la razón de la existencia de este recurso.
SpysePodemos considerar a Spyse como un motor de búsqueda de la ciberseguridad.
AbuseIPDBAbuseIPDB es un proyecto dedicado a ayudar a combatir la propagación de piratas informáticos, spammers y actividades abusivas en Internet.
IP address Fraud CheckNos ayuda a buscar cualquier dirección IP para verificar el fraude de esa IP. Se le otorga una puntuación y se obtiene la información de respaldo, incluido el país real, el operador, el estado del proxy y el estado de Tor.
VirusTotalAnalice archivos y URL sospechosos para detectar tipos de malware y compártalos automáticamente con la comunidad de seguridad.
De esta forma se define a sí mismo VirusTotal.
RobtexRobtex utiliza varias fuentes para recopilar información pública sobre números de IP, nombres de dominio, nombres de host, sistemas autónomos, rutas, etc.

Dominios

Whois Lookup, Domain Availability and IP Search – DomainToolsDomainTools está pensado para ayudar a los analistas de seguridad a transformar los datos de amenaza en información.

Hashes y ficheros

KoodousKoodous es una plataforma colaborativa que combina el poder de las herramientas de análisis en línea con las interacciones sociales entre los analistas a través de un gran repositorio de APK.
DecryptMuy a menudo, en el transcurso de una investigación OSINT es necesario averiguar claves a partir de hashes encontrados. Este servicio viene al rescate en esta situación.

Redes Sociales

tinfoleakTinfokeak.com provee una interfaz web a la herramienta OSINT Tinfoleak desarrollada en Python por Vicente Aguilera Díaz
Social BearingUn servicio equivalente a tinfoleak.

Usuarios

NamechkNamechk es un servicio web que muestra la disponibilidad de un nombre de usuario, de una marca o empresa en un gran número de redes sociales y sitios web.
Username CheckerUn servicio equivalente a Namechk que buscará un nombre de usuario o marca en mas de 70 sitios mostrando la disponibilidad.

Extensiones para Firefox

WappalyzerSi el objetivo del OSINT es una página web, esta herramienta nos ayudará a averiguar las tecnologías sobre las que está construida.
Wayback MachineDetecta páginas caídas o no encontradas (error 404), fallos DNS y un amplio rango de problemas ofreciendo a su vez una vista de la página a través del Internet Archive’s Wayback Machine.
xlFrMuestra los datos Exif, IPTC y XMP de imágenes locales o remotas.
SputnikCon esta extensión se pueden realizar búsquedas rápidas de IPs, dominios, hashes de fichero y urls utilizando técnicas OSINT.
User-Agent SwitcherUser-Agent Switcher es un complemento que nos permite cambiar la identificación de nuestro navegador en cualquier web.
Search by Image por Armin SebastianSearch by Image por Armin Sebastian tiene como función agregar un icono en la barra del navegador y ayudar a los usuarios a buscar con imágenes.
hunter.iohunter.io requiere la apertura de una cuenta en su web. Su uso es extremadamente sencillo: navegando en la página web objetivo de la investigación, al pulsar el icono de la extensión nos mostrará todos los correos electrónicos que aparecen en dicha página.
FireshotFireshot nos permitirá capturar en disco, imprimir, pasar a PDF, etc. los datos capturados de la web objetivo

Script de instalación

Como se puede apreciar en el repositorio Github del script, este viene acompañado por un fichero auxiliar marcadores.sql. Dicho fichero contendrá los marcadores que el script instalará en nuestra distribución.

La instalación y ejecución es muy sencilla tecleando en el terminal de nuestra distribución Linux:

codigo

El script admite varias opciones.

  • a: Actualiza el sistema e instala requerimientos necesarios.
  • i: Instala las herramientas OSINT.
  • e: Instala las extensiones Firefox.
  • m: Instala las extensiones Firefox.
  • u: Actualiza el script desde Github.
  • h: muestra la ayuda.

Conclusión

Tener disponibles las herramientas justas y necesarias para nuestras investigaciones OSINT es siempre un reto. Con este script he intentado hacer disponible de forma rápida, la obtención de un arsenal de dichas herramientas que sirva como base para la inclusión de otras herramientas.

Me gustaría agradecer a Juanjo Salvador como Director Académico y sobre todo a Félix Brezo como tutor del trabajo fin de master su apoyo durante todo el proceso.

Si quieres ver el proyecto completo de Miguel Navarro, rellena el formulario y te lo mandamos a tu correo electrónico.