SecCore Essentials - OSINT Exposure

Haftungsausschluss: Dieser Beitrag dient ausschließlich Bildungs- und Informationszwecken. Die hier gezeigten Informationen und Angriffe dürfen niemals für illegale Zwecke oder auf Systemen, für die keine explizite Erlaubnis eingeräumt wurde, verwendet werden. Solche Handlungen können gegen geltende Gesetze verstoßen und schwerwiegende rechtliche Konsequenzen nach sich ziehen.

Zusammenfassung

Dieser Beitrag fasst einige Security-Hardening-Maßnahmen zusammen, die dazu dienen, das ungewollte Veröffentlichen sensibler Informationen über öffentliche Quellen zu minimieren. Dieses SecCore Essential ist implementiert, wenn die folgenden Punkte zutreffen:

Mitarbeitende sind für die Risiken öffentlich geteilter Informationen sensibilisiert.
Veröffentlichte Dokumente beinhalten keine Metadaten.
Typosquatting-Domains werden regelmäßig überwacht und bei Bedarf rechtlich oder technisch adressiert.
Code-Repositories und kollaborative Plattformen werden regelmäßig auf unbeabsichtigt veröffentlichte Secrets überprüft.

Einleitung

OSINT (Open Source Intelligence) bezeichnet das Sammeln und Auswerten von Informationen aus öffentlich zugänglichen Quellen. Was ursprünglich eine Methode von Nachrichtendiensten war, wird heute routinemäßig von Angreifern eingesetzt, um vor einem Angriff möglichst viele Informationen über ein Zielunternehmen zu sammeln. Dabei hinterlässt nahezu jedes Unternehmen unbeabsichtigt verwertbare Spuren im Internet: in sozialen Netzwerken, Stellenanzeigen, öffentlichen Code-Repositories oder in den Metadaten veröffentlichter Dokumente.

Häufige Angriffsvektoren

Die folgenden Abschnitte beschreiben verschiedene Angriffsvektoren, die auf öffentlich verfügbaren Informationen basieren.

Mitarbeiter- und Organisationsinformationen

Plattformen wie LinkedIn¹ oder XING² bieten Angreifern eine detaillierte Übersicht über die Organisationsstruktur eines Unternehmens. Aus Profilen lassen sich Informationen wie verwendete interne Tools, Rollen, Zuständigkeitsbereiche und direkte Kontaktmöglichkeiten ableiten. Diese Informationen werden häufig für gezielte Spear-Phishing-Kampagnen oder Social-Engineering-Angriffe genutzt, da sie eine hohe Glaubwürdigkeit erzeugen.

Darüber hinaus ermöglichen öffentlich zugängliche Profile oft Rückschlüsse auf interne Prozesse, verwendete Technologien und aktuelle Projekte. All das sind Informationen, die Angreifer gezielt einsetzen können, um sich als vertrauenswürdige Personen auszugeben.

Stellenanzeigen als Informationsquelle

Stellenanzeigen werden von Angreifern systematisch ausgewertet, da Unternehmen darin häufig unbewusst sensible technische Details preisgeben. Anforderungen wie "Erfahrung mit Cisco ASA Firewalls", "Kenntnisse in VMware vSphere 7" oder "Umgang mit Splunk SIEM" verraten konkrete Informationen über die eingesetzte Infrastruktur.

Mit diesem Wissen können Angreifer gezielt nach bekannten Schwachstellen in den genannten Produkten suchen und Angriffe entsprechend vorbereiten. Methoden wie Google Dorks³ erleichtern die systematische Suche nach solchen Informationen erheblich.

Öffentliche Code-Repositories

Entwickler laden regelmäßig Code auf Plattformen wie GitHub⁴ oder GitLab⁵ hoch. Dabei werden oft versehentlich Secrets wie API-Keys, Datenbankpasswörter oder Private Keys hochgeladen. Auch interne IP-Adressen und Hostnamen können in der Commit-History, Konfigurationsdateien oder Kommentaren hinterlassen werden.

Tools wie truffleHog⁶ oder gitleaks⁷ durchsuchen automatisiert Repositories und die Commit-History nach solchen Secrets. Besonders kritisch ist, dass gelöschte Dateien in der Git-Historie weiterhin abrufbar bleiben und der bloße Entzug des öffentlichen Zugriffs auf ein Repository keine Garantie für die Sicherheit bereits zwischengespeicherter oder heruntergeladener Inhalte bietet.

Metadaten in veröffentlichten Dokumenten

Dokumente wie PDFs, Word-Dateien oder Bilder enthalten häufig unsichtbare Metadaten, die sensible Informationen preisgeben können. Dazu zählen unter anderem Autoren-, Benutzer- und Systemnamen, interne Pfadangaben oder verwendete Softwareversionen.

Tools wie ExifTool⁸ ermöglichen das unkomplizierte Extrahieren dieser Metadaten und sind für Angreifer ein einfaches Mittel, um ohne großen Aufwand interne Informationen zu gewinnen. Besonders Dokumente, die direkt auf der Unternehmenswebseite veröffentlicht werden, sind ein häufig unterschätztes Risiko. Metadaten Extraktion mit ExifTool

Typosquatting und gefälschte Domains

Beim Typosquatting registrieren Angreifer Domains, die optisch oder phonetisch der legitimen Unternehmensdomäne ähneln, etwa durch Tippfehler (secore.at statt seccore.at), hinzugefügte oder vertauschte Zeichen, alternative Top-Level-Domains (.com, .org, .de) oder Homoglyphen (visuelle Zeichenähnlichkeiten wie rn statt m). Solche Domains werden für verschiedene Angriffe genutzt:

Phishing: Gefälschte Login-Seiten oder täuschend echte E-Mail-Absenderadressen verleiten Mitarbeitende, Kunden oder Partner zur Preisgabe von Zugangsdaten.
Business Email Compromise (BEC): E-Mails, die scheinbar von einer vertrauten Domain stammen, werden genutzt, um betrügerische Überweisungen oder Datenweitergaben auszulösen.
Credential Harvesting: Nutzer, die sich vertippt haben, landen auf einer täuschend echten Kopie der legitimen Seite und geben dort Zugangsdaten ein.

Tools wie dnstwist⁹ generieren automatisch Variationen einer Domain und prüfen, welche davon bereits registriert und aktiv sind. Weitere Quellen für das Monitoring sind Certificate Transparency Logs¹⁰, da für neue Phishing-Seiten häufig auch TLS-Zertifikate ausgestellt werden.

Google Dorking und Suchmaschinenindizierung

Durch speziell konstruierte Suchanfragen, sogenannte Google Dorks³, können Angreifer Suchmaschinen gezielt nutzen, um öffentliche Dateien, Konfigurationen oder Login-Seiten aufzuspüren. Typische Suchanfragen zielen beispielsweise auf öffentlich zugängliche Konfigurationsdateien, Backup-Dateien oder interne Dokumente ab, die versehentlich indiziert wurden. Suche nach PDF Dateien mittels Google Dorks

Ergänzend dazu archiviert die Wayback Machine¹¹ des Internet Archive historische Versionen von Webseiten. Inhalte, die bereits gelöscht wurden, können dort noch immer öffentlich abrufbar sein. Darunter fallen auch frühere Versionen von Webseiten, Dokumente oder temporär veröffentlichte Inhalte.

Angriffsszenario

Der folgende Abschnitt zeigt, wie ein Angreifer mithilfe von frei verfügbaren Informationen gezielte Vorbereitungen für einen Angriff trifft. Zunächst werden über LinkedIn Mitarbeiter des Zielunternehmens identifiziert und deren Profile ausgewertet. Aus den Profilen lassen sich verwendete Technologien und interne Zuständigkeiten ableiten. Dabei wurde auch das GitHub-Profil eines Entwicklers gefunden:

Dessen Repositories wurden anschließend nach Secrets wie Passwörtern, API-Tokens oder internen Informationen durchsucht. Dabei wurde in einem öffentlichen Repository eine Staging-Applikation mit internen Hostnamen und validen Zugangsdaten gefunden: Gefundener interner Hostname im öffentlichen Repository Dadurch kann nun Zugriff auf die Applikation hergestellt und nach weiteren Angriffspunkten gesucht werden, um möglicherweise in das interne Netzwerk des Unternehmens einzudringen. Alternativ können die gesammelten Informationen für gezielte Phishing-Angriffe verwendet werden, wodurch die Erfolgschance immens steigt.

Gegenmaßnahmen

Um die Veröffentlichung sensibler Informationen über öffentliche Quellen dauerhaft zu minimieren, sind Maßnahmen in den Bereichen Sensibilisierung, technische Kontrollen und Prozesse erforderlich.

Mitarbeitersensibilisierung

Der wichtigste Schutzfaktor ist das Bewusstsein der Mitarbeitenden für die Risiken öffentlich geteilter Informationen. Schulungen sollten folgende Punkte umfassen:

Keine Veröffentlichung interner technischer Details in sozialen Netzwerken oder öffentlichen Foren.
Vorsicht beim Teilen von Screenshots oder Arbeitsergebnissen, die interne Informationen enthalten könnten.
Bewusster Umgang mit Stellenanzeigen: technische Anforderungen so allgemein wie möglich formulieren.

Technische Kontrollen für Code und Dokumente

Für den Umgang mit Code und Dokumenten sollten folgende technische Maßnahmen etabliert werden:

Der Einsatz von Tools wie gitleaks⁷ verhindert, dass sensible Informationen versehentlich in Repositories gespeichert werden.
Bestehende Repositories sollten regelmäßig mit Anwendungen wie truffleHog⁶ auf bereits gespeicherte Dataleaks überprüft werden. Gefundene Secrets müssen als kompromittiert betrachtet werden, und Prozesse zum Austauschen der Secrets sind unverzüglich einzuleiten.
Dokumente sollten vor der Veröffentlichung mit Tools wie dem ExifTool⁸ oder integrierten Bereinigungsfunktionen von Office-Anwendungen von Metadaten befreit werden.
Für öffentliche Webseiten sollte eine robots.txt konfiguriert und regelmäßig überprüft werden, um die Indizierung sensibler Verzeichnisse zu verhindern.

Typosquatting-Monitoring

Unternehmen sollten aktiv überwachen, ob ähnliche Domains auf sie abzielen:

dnstwist⁹ oder vergleichbare Tools sollten regelmäßig ausgeführt werden, um Variationen der eigenen Domain auf Registrierung und Aktivität zu prüfen.
Certificate Transparency Logs (z.B. über crt.sh¹⁰) können genutzt werden, um neu ausgestellte Zertifikate für ähnliche Domains frühzeitig zu erkennen.
Neu entdeckte Typosquatting-Domains sollten dokumentiert und, sofern missbräuchlich genutzt, über Registrare, UDRP-Verfahren oder Behörden gemeldet werden.
Eigene Nutzer und Partner sollten über bekannte Phishing-Domains informiert werden.

Regelmäßige OSINT-Selbstprüfung

Unternehmen sollten regelmäßig selbst eine OSINT-Analyse aus der Perspektive eines Angreifers durchführen:

Gezielte Suche nach dem eigenen Unternehmensnamen und Domains in öffentlichen Code-Repositories.
Überprüfung der auf der eigenen Webseite veröffentlichten Dokumente auf enthaltene Metadaten.
Auswertung öffentlicher Mitarbeiterprofile auf exponierte technische Details.
Nutzung von Google Dorks, um versehentlich indizierte interne Ressourcen aufzudecken.

Diese Prüfungen sollten idealerweise quartalsweise durchgeführt und in einen definierten Prozess eingebettet werden, sodass identifizierte Informationen konsequent behoben werden.

https://www.linkedin.com

https://www.xing.com

https://www.exploit-db.com/google-hacking-database

⁴

https://github.com

⁵

https://gitlab.com

⁶

https://github.com/trufflesecurity/trufflehog

⁷

https://github.com/gitleaks/gitleaks

⁸