🔍 Поиск угроз с помощью URLscan для начинающих |

🔍 Поиск угроз с помощью URLscan для начинающих

Мануал

Возможно, вы новичок в URLscan, и ваш работодатель просит вас выполнить некоторые задачи по поиску угроз с помощью URLscan, а вы не знаете, с чего начать.

Тогда это руководство для вас, поскольку я расскажу вам о возможностях URLscan по поиску угроз.

Учетная запись не требуется

Я настоятельно рекомендую вам приобрести подписку или бесплатный аккаунт в URLscan.

Его основатели и люди, стоящие за ним, делают потрясающую работу.

Для этого руководства по поиску угроз учетная запись URLscan не нужна.

Давайте определимся с областью применения

Возможно, ваш работодатель, менеджер, руководитель группы дал вам задание, если это не так, спросите о сфере применения задания.

Вы должны понимать, за чем вы охотитесь.

В этом примере мы сосредоточимся на фишинговых страницах Microsoft и будем искать угрозы, которые были проиндексированы в URLscan, чтобы мы могли создать сигнатуры обнаружения и провести расследование инфраструктуры, используемой этими фишинговыми страницами.

Область применения: Фишинговые страницы, направленные на пользователей Microsoft
Службы: Outlook, Live, Onedrive, Office365

URLscan

Веб-сайт URLscan довольно прост.

Мы перейдем непосредственно к странице поиска на URLscan.

Мы нажимаем кнопку “Search”, которая находится в меню URLscan.

Прежде чем мы начнем нажимать на кнопку поиска, мы рассмотрим предлагаемые варианты.

Дело в том, что мы можем использовать фильтры, чтобы сузить круг поиска.

Нажимаем на синюю кнопку Помощь. После нажатия появятся инструкции по работе с фильтрами.

Краткий обзор некоторых запросов по умолчанию, показанных в тексте справки:

  • page.ip:1.1.1.1
  • page.url.keyword:https\:\/\/\/www.microsoft.com\/*
  • domain:microsoft.com AND NOT page.domain:microsoft.com
  • page.domain:(microsoft.com~ AND NOT microsoft.com)
  • page.domain:(/micro*/ AND NOT microsoft.com)
  • page.asn:AS24940 OR page.asnname:hetzner
  • page.url: “wp-content/uploads/” OR filename: “wp-content/uploads/”

Попробуем выполнить запрос

Следующий запрос даст вам быстрый обзор некоторых подозрительных доменов Microsoft.

Вы можете исследовать их, следуя этому руководству.

page.domain:onedrive* AND NOT page.domain:(live.com OR windows.net OR onedrive.com)

Скопировав и вставив этот запрос в поле поиска и нажав кнопку Enter, вы заметите, что происходит следующее:

Мы ищем страницы, домен которых содержит ключевое слово onedrive (и все, что после него, из-за *).

Мы также исключаем страницы с доменами live.com, windows.net и onedrive.com.

Теперь становится интересно: мы получили результаты и можем приступить к созданию сигнатур и поисковых запросов.

Давайте еще больше сузим наш поиск

Мы собираемся продолжить работу с поисковыми запросами, потому что мы пытаемся найти фишинговые страницы Microsoft.

Вы просмотрели список и нашли фишинговую страницу.

Это замечательно, теперь давайте подробнее рассмотрим детали, которые отображаются в URLscan.

https://urlscan.io/result/2a1e5731-cc2b-4394-9fe4-23d3714a0deb/

Вы можете использовать ссылку URLscan, показанную выше, чтобы немедленно перейти на фишинговую страницу, которая была проиндексирована.

Мы будем использовать ее в качестве примера.

Уделите время и просмотрите список.

Одно, что быстро всплывает, – это файл mp4 с именем onedrive.mp4.

Мы можем использовать это имя файла в нашем предыдущем запросе, чтобы сузить поиск еще больше, мы также можем щелкнуть по имени файла и посмотреть, есть ли совпадения.

Когда ссылка будет нажата, вам будет показан список доменов, в которых используется одно и то же имя файла

В поле поиска запрос должен выглядеть следующим образом:

Я также упомянул, что вы можете использовать новый запрос в предыдущем запросе.

Если все сделано правильно, ваш запрос должен выглядеть следующим образом:

page.domain:onedrive* AND NOT page.domain:(live.com OR windows.net OR onedrive.com) AND filename:"onedrive.mp4"

Вы заметите, что этот запрос дает меньше результатов, но все они являются фишинговыми.

Вы также можете сделать запрос немного шире, изменив ключевые слова домена.

Еще несколько советов

Отчеты URLscan содержат множество деталей, большинство из них можно щелкнуть, и они приведут вас к новому запросу или новой странице с дополнительной информацией.

Постарайтесь освоиться на сайте и попрактиковаться, щелкая по нему.

  • Поиск по диапазонам IP-адресов
  • Поиск по ключевым словам домена
  • Поиск по именам файлов
  • Поиск по фавиконам
  • Старайтесь совершать ошибки при поиске угроз и учитесь на них

 

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий