Die besten OSINT-Tools für Cyber-Ermittlungen

Ein Blick auf die verschiedenen Open-Source Intelligence (OSINT) Tools, die auf dem Markt erhältlich sind.

In unserem täglichen Leben suchen wir nach vielen Informationen im Internet. Wenn wir nicht die erwarteten Ergebnisse finden, geben wir normalerweise auf!

Aber haben Sie sich jemals vorgestellt, was in diesen Hunderten von Seitenergebnissen steckt? “Informationen”!

Dies ist nur möglich, wenn Sie verschiedene Tools verwenden. Tools spielen eine wichtige Rolle bei der Suche nach Informationen, aber ohne die Bedeutung und Verwendung von Tools zu kennen, wird es für die Benutzer nicht hilfreich sein.

Criminal IP

Criminal IP ist eine prominente OSINT-Suchmaschine für Cybersicherheit, die Bedrohungsdaten sammelt und analysiert, indem sie in Echtzeit Daten über mehr als 4,2 Milliarden IP-Adressen und Cyber-Assets sammelt. Über die Asset-Suche und die Domain-Suche von Criminal IP können Benutzer einfach und schnell auf die gewünschten Asset-Informationen zugreifen.

Dazu gehören umfassende Daten für das Pentesting, wie z.B. eine 5-stufige Risikobewertung, aktuelle Informationen zu offenen Ports und Schwachstellen(CVE-Codes), Wahrscheinlichkeit von Phishing-URLs, Missbrauchsaufzeichnungen, Verwendung von gefälschten Favicons, verbundene IPs und Subdomain-Informationen.

Darüber hinaus können Benutzer mit verschiedenen Suchfiltern die gewünschten Assets effektiv extrahieren.

Criminal-IP-asset-search-1 — Suchergebnisse mit dem Stichwort “IP-Kamera”

Die Suche ist nicht auf Phishing-Seiten oder bösartige IPs beschränkt, da sie auch nach allen mit dem Internet verbundenen Assets, einschließlich IoT-Geräten und Zertifikaten, suchen kann.

NexVision

NexVision ist eine fortschrittliche, KI-gestützte OSINT-Lösung, die in Echtzeit Informationen aus dem gesamten Web (Clear Web, Dark Web und Social Media) liefert. Sie bietet einen beispiellosen Zugang zu Suchanfragen im Dark Web über normale Browser wie Chrome und Safari, ohne die Verwendung des anonymisierenden Browsers Tor.

Wenn Sie Hintergrundüberprüfungen, Due-Diligence-Prüfungen, die Einhaltung von Vorschriften bei der Aufnahme von Kunden (KYC/AML/CFT), Informationen über Unternehmen, Dritte, Cyber-Bedrohungen oder sogar Nachforschungen über Kryptowährungsadressen nach einer Ransomware-Bedrohung durchführen möchten, liefert NexVision präzise Antworten in Echtzeit.

NexVision wird in erster Linie vom Militär und von Regierungen eingesetzt, ist aber seit 2020 auch kommerziell verfügbar und wird von Fortune-500-Unternehmen und kleinen und mittleren Unternehmen (KMUs) gleichermaßen für ihre Aufklärungs- und Ermittlungsbedürfnisse genutzt. Der Service umfasst ein direktes Abonnement für die SaaS-Lösung und den Kauf von Intelligence-Berichten.

Wie es funktioniert:

Im ersten Schritt sammelt die KI-gestützte Engine kontinuierlich Daten, analysiert sie und kategorisiert sie, wodurch der größte kommerziell verfügbare Datensee entsteht. Im zweiten Schritt setzt die Engine maschinelles Lernen ein, um Fehlalarme zu reduzieren und äußerst genaue und kontextbezogene Ergebnisse zu liefern. Dies reduziert den Zeit- und Arbeitsaufwand für Untersuchungen und die Ermüdung von Analysten, die mit großen Mengen irrelevanter Daten konfrontiert werden, erheblich. Im letzten Schritt werden alle Ergebnisse auf dem Dashboard angezeigt, wo Benutzer sie leicht visualisieren und fundierte Entscheidungen treffen können.

Über das Dashboard können Benutzer Schlüsselwortwarnungen einstellen, um Ziele in Echtzeit zu überwachen, Untersuchungen durchzuführen und die Ergebnisse zu analysieren, ohne dabei anonym zu bleiben.

Die Software verfügt über eine einfache Benutzeroberfläche, die für Analysten der Einstiegsklasse konzipiert ist. Analysten können auf militärisch hochwertige und umfassende Informationen zugreifen und diese nutzen, ohne auf Skripte angewiesen zu sein oder eine einzige Zeile Code zu schreiben.

Das Modul für soziale Medien überwacht Daten von Meta (früher Facebook), Instagram, LinkedIn, Discord, Twitter, YouTube, Telegram usw. und ist mit einer Geolokalisierungstechnologie ausgestattet, um die Quelle und den Ort der Informationsverbreitung zu bestimmen.

Social Links ist ein Softwareunternehmen, das KI-gesteuerte Lösungen entwickelt, die Daten aus offenen Quellen wie sozialen Medien, Messengern, Blockchains und dem Dark Web extrahieren, analysieren und visualisieren. Ihr Flaggschiffprodukt SL Professional ermöglicht es Ermittlern und Datensicherheitsexperten, ihre Arbeitsziele schneller und effektiver zu erreichen.

SL Professional bietet eine Reihe von maßgeschneiderten Suchmethoden, die mehr als 500 offene Quellen umfassen. Die fortschrittlichen Suchabfragen des Produkts, von denen viele auf maschinellem Lernen beruhen, ermöglichen es den Benutzern, die gesammelten Daten auf vielfältige und anspruchsvolle Weise zu filtern.

Die OSINT-Lösungen von Social Links können jedoch mehr als nur Informationen sammeln. Sie bieten auch fortschrittliche Analysetools, mit denen Sie die Daten im Laufe der Ermittlungen verfeinern können und genaue Ergebnisse für ein immer verständlicheres Bild der Ermittlungen erhalten.

Funktionen

Ein professionelles Paket mit 1000 originellen Suchmethoden für über 500 offene Datenquellen, darunter alle wichtigen Plattformen in sozialen Medien, Messenger, Blockchains und dem Dark Web

Hochentwickelte Automatisierungsfunktionen, die maschinelles Lernen nutzen, um eine umfassende Palette von Informationen abzurufen und genaue Ergebnisse in bemerkenswerter Geschwindigkeit zu liefern.

Maßgeschneiderte Analysetools ermöglichen es, die Daten erheblich anzureichern und für die jeweiligen Zwecke des Benutzers anzupassen.

Nahtlose Integration in Ihre IT-Infrastruktur

Social Links bietet im Rahmen seiner Produktpakete Schulungen und Support an.

Für Organisationen, die die ultimative OSINT-Lösung benötigen, bietet Social Links auch eine unternehmenstaugliche Plattform SL Private Platform an – eine OSINT-Lösung vor Ort, die eine breite Palette von Suchmethoden, eine vollständige Anpassung an die Bedürfnisse der Benutzer und eine private Datenspeicherung bietet.

Shodan

Google ist die meistgenutzte Suchmaschine für alle, wohingegen Shodan eine fantastische Suchmaschine ist, die für Hacker eine wahre Goldgrube darstellt, wenn es darum geht, offengelegte Daten zu finden.

Im Vergleich zu anderen Suchmaschinen liefert Ihnen Shodan die Ergebnisse, die für Sicherheitsexperten sinnvoller sind. Sie enthält hauptsächlich Informationen über Geräte, die mit dem Netzwerk verbunden sind. Dabei kann es sich um Laptops, Verkehrssignale, Computer und verschiedene andere IoT-Geräte handeln. Dieses Open-Source-Tool hilft dem Sicherheitsanalysten vor allem dabei, das Ziel zu identifizieren und es auf verschiedene Schwachstellen, Passwörter, Dienste, Ports usw. zu testen.

Darüber hinaus bietet es den Benutzern die flexibelsten Suchmöglichkeiten der Community.

Nehmen wir zum Beispiel die Situation an, dass ein einzelner Benutzer die angeschlossenen Netzkameras, Webcams, Ampeln usw. sehen kann. Werfen wir einen Blick auf einige Anwendungsfälle von Shodan:

Testen von “Standard-Passwörtern”
Assets mit VNC-Viewer
Verwendung des offenen RDP-Ports zum Testen der verfügbaren Assets

Google Dorks

Google Dorks gibt es seit 2002 und es liefert effektive Ergebnisse mit ausgezeichneter Leistung. Dieses abfragebasierte Open-Source-Intelligence-Tool wurde hauptsächlich entwickelt und erstellt, um Nutzern dabei zu helfen, den Index oder die Suchergebnisse angemessen und effektiv zu gestalten.

Google Dorks bietet eine flexible Möglichkeit, mit Hilfe einiger Operatoren nach Informationen zu suchen, und wird vielleicht auch als Google Hacking bezeichnet. Diese Operatoren erleichtern die Suche, um Informationen zu extrahieren. Im Folgenden finden Sie einige Operatoren oder Indizierungsoptionen, die Google Docker zur Verfügung stellt, und zwar

Dateityp: Dieser Operator wird hauptsächlich verwendet, um die Dateitypen zu finden oder um nach einer bestimmten Zeichenfolge zu suchen
Intext: Diese Indizierungsoption wird für die Suche nach einem bestimmten Text auf einer bestimmten Seite verwendet.
Ext: Dies wird verwendet, um nach einer bestimmten Erweiterung in einer Datei zu suchen.
Inurl: Wird verwendet, um nach einer bestimmten Zeichenfolge oder einem Wort in der URL zu suchen
Intitle: Dient zur Suche nach dem Titel oder den oben genannten Wörtern in der URL

Maltego

Maltego wurde von Paterva entworfen und entwickelt und ist eines der eingebauten Tools in Kali Linux. Dieses Open-Source-Intelligence-Tool wird hauptsächlich dazu verwendet, mit Hilfe mehrerer eingebauter Transformationen (und der Möglichkeit, eigene zu schreiben) eine umfassende Untersuchung verschiedener Ziele durchzuführen.

Die Programmiersprache, die Sie in Maltego verwenden, ist in Java geschrieben und wird als vorinstalliertes Paket in Kali Linux angezeigt. Sobald der Registrierungsprozess abgeschlossen ist, können die Benutzer dieses Tool verwenden, um effektive digitale Fußabdrücke des jeweiligen Ziels im Internet zu erstellen und zu entwickeln.

Die erwarteten Ergebnisse können die IP-Konvertierung, die Identifizierung der AS-Nummer, die Identifizierung des Netblocks und sogar die Identifizierung der Phrasen und Orte sein. Dies sind alle Symbole in Maltego, das Ihnen eine detaillierte Ansicht und Informationen zu allen Symbolen bietet.

Sie können sogar noch mehr Informationen über das Ziel erfahren, wenn Sie sich näher mit dem Prozess befassen. Abschließend kann ich sagen, dass es ein hervorragendes Tool ist, um die Fußspuren jedes einzelnen Unternehmens im Internet zu verfolgen. Maltego ist für alle gängigen Betriebssysteme verfügbar.

Harvester

Harvester ist ein hervorragendes Tool zum Auffinden von E-Mails, Subdomains, IPs usw. aus verschiedenen öffentlichen Daten.

Nachfolgend ein Beispiel, um die Subdomains mit DNSdumpster zu finden.

[root@geekflare theHarvester]# python theHarvester.py -d geekflare.com/de -v -b dnsdumpster

*******************************************************************
*  _ _ _ *
* | |_| |__ ___ /\ /\__ _ _ ____ _____ ___| |_ ___ _ __ *
* | __| _ \ / _ \ / /_/ / _` | '__\ \ / / _ \/ __| __/ _ \ '__| *
* | |_| | | | __/ / __ / (_| | | \ V / __/\__ \ || __/ | *
*  \__|_| |_|\___| \/ /_/ \__,_|_| \_/ \___||___/\__\___|_| *
*                                                                 *
* theHarvester 3.1.0.dev1 *
* Codiert von Christian Martorella *
* Edge-Security Research *
* cmartorella@edge-security.com *
*                                                                 *
******************************************************************* 

 
[*] Ziel: geekflare.com/de 
 
[*] Suche nach DNSdumpster. 

[*] Keine IPs gefunden.

[*] Keine Emails gefunden.

[*] Hosts gefunden: 3
---------------------
lab.geekflare.com/de:104.25.134.107
tools.geekflare.com/de:104.25.134.107
www.geekflare.com/de:104.25.134.107

[*] Virtuelle Hosts:
------------------
[root@geekflare theHarvester]#

TheHarvester ist auch unter Kali Linux verfügbar. Sie können die Kali Linux Installationsanleitung einsehen, wenn Sie sie benötigen.

Übrigens gibt es noch weitere Tools, um Subdomains zu finden.

Recon-Ng

Recon-ng ist ein effektives Tool, um das Ziel zu erkunden.

Die ganze Stärke dieses Tools liegt in seinem modularen Ansatz. Wer Metasploit verwendet, kann die Macht der modularen Tools verstehen. Recon-ng verfügt über verschiedene eingebaute Module, die vor allem dazu dienen, das Ziel zu erkunden und gleichzeitig Informationen zu extrahieren, die der Benutzer benötigt. Wir können die Recon-ng-Module verwenden, indem wir einfach die Domänen im Arbeitsbereich hinzufügen.

Einige der hervorragenden Module, wie google-site-web und bing-domain-web, werden verwendet, um weitere Domains zu finden, die mit der ersten Ziel-Domain in Verbindung stehen. Das Ergebnis dieser Domains sind alle Domains, die von den Suchmaschinen indiziert werden. Ein weiteres interessantes Modul ist bing_linkedin_cache, das hauptsächlich dazu verwendet wird, die Details der E-Mail-Adressen abzurufen, die mit der Domain verbunden sind. Dieses Modul kann auch für die Durchführung von Social Engineering genutzt werden.

Außerdem können wir mit anderen Modulen zusätzliche Informationen über die Zielpersonen abrufen. Letztendlich ist dieses Open-Source-Intelligence-Tool ein fantastisches Werkzeug, das in den Werkzeugkasten von Forschern aufgenommen werden muss.

TinEye

TinyEye hilft Ihnen bei der umgekehrten Bildsuche, so dass Sie herausfinden können, wo die Bilder online erscheinen. Neben der umgekehrten Bildersuche können seine Funktionen wie Computer Vision, Produkterkennung usw. Ihre Anwendungen unterstützen, um die Bilder im Web durchsuchbar zu machen.

Nutzen Sie die fortschrittliche Bilderkennungsfunktion von TinEye, um Betrug zu erkennen und Inhalte für Ihr Unternehmen zu moderieren.

Verfolgen Sie, wie und wo die Bilder erscheinen, um die Bilder online zu verifizieren, und finden Sie den Standort des Bildes, das im Internet erscheint, um die Einhaltung des Urheberrechts zu überprüfen. Darüber hinaus können Sie mit der MobileEngine von TinEye die physische Welt durch Bilderkennung mit der digitalen Welt verbinden.

✅ Vorteile	❌ Nachteile
Einfaches und leicht zu bedienendes Tool	Die Pixel-Unterstützung muss besser sein, um Bilder deutlicher zu erkennen
Bietet einige kostenlose Dienste und praktische Optionen	Nicht alle Ergebnisse sind genau
Benutzerfreundliche und schnelle Engine

Laden Sie Ihr Bild hoch oder fügen Sie kostenlos eine URL ein, um die Bilder zu erkennen.

AlienVault

AlienVault ist eine Open-Source-Intelligence-Plattform, die Ihnen kostenlosen Zugang zu mehr als 20 Millionen Bedrohungsindikatoren bietet. Damit können Sie Indikatoren für eine Gefährdung (Indicators of Compromise, IoCs) aus E-Mails, Bedrohungsberichten, PCAPs, Blogs und mehr extrahieren.

Nutzen Sie die OTX-Sandbox von Alien Labs, um die Malware in Ihren Dateien oder URLs zu analysieren. Übermitteln Sie einfach die Datei und die URL und lassen Sie AlienVault den Rest erledigen. Sie können spezielle Gruppen erstellen und ihnen beitreten, um die Bedrohungen zu untersuchen.

Verbinden Sie AlienVault mit anderen Sicherheitstools über STIX/TAXII, SDK, DirectConnect API und mehr. Sie können die neuesten Informationen über Bedrohungen, Angriffe, böswillige Akteure und andere notwendige Informationen von der globalen Geheimdienstgemeinschaft erhalten.

✅ Vorteile	❌ Nachteile
Bietet eine einheitliche Erkennung von Bedrohungen	Die Benutzeroberfläche hätte besser sein können
Kann mit anderen Sicherheitstools verbunden werden, um eine zusätzliche Sicherheitsebene zu schaffen	Dashboards sind ein wenig schwierig zu navigieren
Die Berichtsfunktion ist großartig
Möglichkeit, sich mit der globalen Threat Intelligence Community zu verbinden

Laden Sie den Agenten kostenlos herunter, installieren Sie ihn auf Ihrem Gerät und beginnen Sie mit der Analyse aller Bedrohungen.

Was ist Open-Source Intelligence?

Open-Source Intelligence, kurz OSINT genannt, bezieht sich auf die Sammlung von Informationen aus öffentlichen Quellen, um sie im Rahmen der Aufklärung zu nutzen. Wir leben heute in der “Welt des Internets” und seine Auswirkungen auf unser Leben haben sowohl Vor- als auch Nachteile.

Die Vorteile der Nutzung des Internets sind, dass es eine Vielzahl von Informationen bietet und für jeden leicht zugänglich ist. Die Nachteile hingegen sind der Missbrauch von Informationen und der hohe Zeitaufwand, der damit verbunden ist.

Hier kommt die Existenz von OSINT-Tools ins Spiel, die hauptsächlich zum Sammeln und Korrelieren von Informationen im Internet verwendet werden. Informationen können in verschiedenen Formen vorliegen: als Text, als Datei, als Bild und so weiter. Im CSR-Bericht für den Kongress heißt es, dass Open-Source-Intelligence aus öffentlichen Informationen entsteht, die richtig verbreitet, gesammelt und effektiv genutzt werden. Und diese Informationen den Nutzern zur Verfügung stellt, um einen bestimmten Geheimdienstbedarf zu decken.

Warum brauchen wir OSINT-Tools?

Betrachten wir eine Situation oder ein Szenario, in dem wir Informationen zu bestimmten Themen im Internet finden müssen. Dazu müssen Sie zunächst suchen und analysieren, bis Sie die genauen Ergebnisse erhalten, was sehr viel Zeit kostet. Das ist der Hauptgrund, warum wir Intelligenz-Tools benötigen, denn der oben erwähnte Prozess kann mit diesen Tools innerhalb von Sekunden erledigt werden.

Wir können sogar mehrere Tools laufen lassen, um alle Informationen über das Ziel zu sammeln, die dann miteinander in Beziehung gesetzt und später verwendet werden können.

Schlussfolgerung

Penetrationstests oder Cybersicherheitsuntersuchungen sind eine Herausforderung und erfordern Informationen aus verschiedenen Quellen. Ich hoffe, die oben genannten ONIST-Tools helfen Ihnen dabei.

Chandan Kumar
Beitragender
- LinkedIn
Chandan Kumar is a technology enthusiast and entrepreneur who is passionate about helping businesses and individuals around the world. As the founder of Geekflare, Chandan has created valuable content and resources for businesses and individuals around the world.

Chandan’s expertise spans many technological domains, including cybersecurity, cloud computing, artificial intelligence, IT infrastructure, and DevOps. His insights and advice have helped organizations like BNP Paribas, Citibank, Deutsche Bank, Motorola navigate the ever-evolving digital landscape and achieve their strategic goals.

Beyond his technical prowess, Chandan believes strongly in the importance of education and knowledge sharing. His dedication to technology and education has earned him recognition as a thought leader in the industry. He wants to travel the world and help professionals and businesses grow.

Expertise: Business Growth, Business Software, Digital Growth, Cybersecurity, Artificial Intelligence, IT Infrastructure
Education: MBA in International Business from Arcadia University