IyaboUwadiae/OSINT-Threat-Intelligence-Assessment

# OSINT 威胁情报评估 ## 概述 本项目展示了对 **Kortnit Hospitality**（一家作为网络安全案例研究的全球性酒店组织）进行的全面开源情报 (OSINT) 和威胁情报评估。 本项目的目的是使用严格的被动侦察技术，识别可公开访问的信息、评估暴露的数字基础设施、分析潜在的安全风险，并对针对酒店行业的现实威胁行为者进行画像。 该评估结合了： - OSINT 收集 - Google Dorking - DNS 分析 - Maltego 可视化 - Shodan 侦察 - theHarvester 枚举 - 威胁行为者画像 - MITRE ATT&CK 映射 - 风险评估与安全建议 # 项目目标 本项目的主要目标是： - 对 Kortnit Hospitality 进行被动侦察 - 识别公开暴露的资产和基础设施 - 分析组织的攻击面 - 调查公开可用的安全风险 - 对针对酒店组织的 Advanced 威胁行为者进行画像 - 应用 MITRE ATT&CK 框架概念 - 推荐多层网络安全防御 # 参与规则 在本项目期间进行的所有活动均严格遵守网络安全道德和被动侦察准则。 ## 道德范围 - 无主动利用 - 无暴力破解攻击 - 无未经授权的访问 - 无服务中断 - 无漏洞利用 - 仅限 OSINT 方法论 整个评估完全依赖于可公开访问的信息。 # 使用的技术与工具 |工具 | 用途 | |------|---------| | Kali Linux | 侦察平台 | | Google Dorking | 公共信息发现 | | theHarvester | 子域和基础设施枚举 | | Shodan | 面向互联网的服务发现 | | Maltego Community Edition | 基础设施可视化 | | nslookup | DNS 验证 | | MITRE ATT&CK | 威胁行为者映射 | | OSINT 方法论 | 被动情报收集 | # 公司概况 ## 目标组织 |类别 | 详情 | |----------|---------| | 公司 | Kortnit Hospitality | | 行业 | 酒店 | | 主域名 | kortnit.com | | 分析师 | Alex Morgan | | 职务 | 威胁情报分析师 | | 部门 | Kortnit Hospitality 安全 | Kortnit Hospitality 在全球范围内运营酒店、度假村、住宅物业、客户门户、预订系统、忠诚度平台和移动应用程序。 # 数字化业务 Kortnit Hospitality 拥有庞大的在线业务，包括： - 主要企业网站 - 预订和预约系统 - 客户门户 - 移动应用程序 - 忠诚度平台 - 员工访问系统 - 区域子域 - 第三方集成 # 全球业务 - 全球拥有超过 9,000 处物业 - 在超过 140 个国家/地区开展业务 - 庞大的全球员工队伍 - 世界上最大的酒店组织之一 # 潜在管理的数据 ## 客户数据 - 姓名 - 电子邮件地址 - 电话号码 - 护照详情 - 旅行记录 ## 财务数据 - 支付卡信息 - 账单记录 ## 忠诚度数据 - 忠诚度账户信息 - 客户偏好 # 步骤 1 – 公司概况分析 公司概况分析阶段侧重于了解： - 业务运营 - 基础设施复杂性 - 网络安全相关性 - 攻击面暴露 ## 主要发现 Kortnit Hospitality： - 存储高度敏感的客户信息 - 维护着庞大的全球攻击面 - 广泛使用云和 CDN 基础设施 - 依赖于互联互通的数字服务 - 曾经历过重大的历史网络安全事件 ### 已知网络安全历史 Kortnit Hospitality 曾经历过涉及以下信息泄露的重大数据泄露事件： - 客户姓名 - 电子邮件地址 - 护照详情 - 旅行记录 示例： - 2018 年“Starwood 事件” # 步骤 2 – Google Dorking Google Dorking 技术被用于识别公开索引的资源及暴露的服务。 ## 使用的查询 ``` site:kortnit.com filetype:pdf site:kortnit.com intitle:login site:kortnit.com "sign in" site:*.kortnit.com -www ``` ## 发现 ### 公开文档 公开可访问的 PDF 文档揭示了： - 运营材料 - 常见问题解答 (FAQ) - 内部工作流程 - 指导指南 ### 登录页面 发现了多个员工和合作伙伴的身份验证门户。 ### 登录页面 识别出了公开可访问的客户登录界面。 ### 子域 大量与预订、忠诚度和合作服务相关的子域增加了组织的攻击面。 # 步骤 3 – theHarvester 与 Shodan 分析 ## theHarvester 枚举 ### 使用的命令 ``` theHarvester -d kortnit.com -b all ``` ## 结果 扫描识别出： - 超过 100 个子域 - 多个 IP 地址 - CDN 基础设施 - 面向公众的服务 - 员工和 HR 门户 ### 观察到的基础设施 该组织严重依赖于： - Akamai Technologies (AS16625) - Akamai International B.V. (AS20940) 这表明其广泛使用了： - CDN 服务 - DDoS 防护 - 分布式基础设施 # Shodan 分析 进行了 Shodan 搜索以识别公开暴露的系统和服务。 ## 观察到的服务 | 端口 | 服务 | |------|---------| | 80 | HTTP | | 443 | HTTPS | | 25 | SMTP | | 53 | DNS | | 161 | SNMP | ## 地理分布 基础设施分布在： - 美国 - 日本 - 新加坡 - 爱尔兰 - 印度 - 巴西 - 中国 ## 主要观察结果 暴露的基础设施表明： - 庞大的数字足迹 - 分布式基础设施 - 广阔的攻击面 - 多个面向互联网的服务 # 步骤 4 – Maltego 可视化报告 Maltego Community Edition 被用于映射以下对象之间的关系： - 域名 - 子域 - IP 地址 - 网段 - 电子邮件账户 - 基础设施所有权 # 方法论 调查从主域名开始： ``` kortnit.com ``` 分析侧重于： - DNS 解析 - IP 映射 - ASN 识别 - 子域枚举 - 电子邮件发现 - 基础设施关联 # DNS 到 IP 映射 解析出的 IP 地址包括： ``` 193.108.91.7 193.108.91.22 23.211.133.65 84.53.139.64 35.100.174.64 35.100.168.64 ``` # ASN 和网段分析 关联的网段包括： ``` 193.108.91.0 – 193.108.91.255 23.211.133.0 – 23.211.133.255 84.53.139.0 – 84.53.139.255 ``` 这些范围关联至： - Akamai Technologies - CDN 基础设施 - 分布式 DNS 系统 # 子域发现 发现的子域示例： ``` ns1-7.akam.net ns1-22.akam.net use4.akam.net eur4.akam.net ``` 这展示了对 Akamai 基础设施的强烈依赖。 # 电子邮件发现 发现的电子邮件地址样本： ``` affiliate.manager@kortnit.com privacy@kortnit.com ``` 这些地址关联至： - 营销运营 - 隐私与合规职能 # 外部集成 识别出的数字集成包括： - LinkedIn - Facebook - Instagram - TikTok - Reddit - Pinterest - Partnerize - 联盟平台 # 限制 Maltego Community Edition 带来了几项限制： - 结果数量受限 - 基础设施映射不完整 - ASN 深度有限 - 子域发现不全面 # 步骤 5 – DNS 查询验证 DNS 验证使用以下命令进行： ``` nslookup ``` # DNS 查询摘要 | 目标 | 结果 | 状态 | |--------|---------|--------| | api.kortnit.com | NXDOMAIN | 未解析 | | jobs.kortnit.com | Akamai CDN IP | 活跃 | | mail.kortnit.com | 超时 | 失效 | | smtp1.kortnit.com | 无响应 | 未解析 | | portal.kornit.com | Cloudflare IP | 活跃 | | extranet.kortnit.com | 超时 | 失效 | | 23.62.104.124 | Akamai 反向 DNS | 活跃 | | 3.231.19.6 | AWS 反向 DNS | 活跃 | | 64.29.17.65 | 无反向 DNS | 未解析 | | 72.246.29.19 | Akamai | 活跃 | | 92.123.164.29 | Akamai | 活跃 | # DNS 分析发现 DNS 分析识别出： - 活跃的基础设施 - 失效的资产 - 未解析的服务 - CDN 和云依赖 识别出的基础设施提供商： - Akamai - Amazon AWS - Cloudflare # 步骤 6 – 威胁行为者画像 分析了针对酒店组织的两个主要威胁组织： - Darkhotel - FIN5 # 威胁行为者 – Darkhotel ## 概述 Darkhotel 是一个高级持续性威胁 (APT) 组织，主要与针对以下对象的网络间谍活动有关： - 酒店 - 高管 - 政府官员 - 高价值旅客 # Darkhotel TTP | 技术 | MITRE ID | |-----------|----------| | 注册表运行键 | T1547.001 | | 命令行 Shell | T1059.003 | | 水坑攻击 | T1189 | | 鱼叉式网络钓鱼附件 | T1566.001 | | 键盘记录 | T1056.001 | | 混淆 | T1027 | | 文件发现 | T1083 | | 加密通道 | T1573.001 | # Darkhotel 失陷指标 观察到的 IOC 模式包括： - 恶意酒店登录重定向 - 虚假软件更新 - 嵌入的恶意 iframe - 恶意 `.LNK` 和 `.RAR` 文件 # 威胁行为者 – FIN5 ## 概述 FIN5 是一个以经济利益为动机的网络犯罪组织，以针对以下目标而闻名： - 酒店 - 餐厅 - 游戏组织 - POS 系统 主要目标包括： - 支付卡盗窃 - PII 窃取 - 凭据泄露 - 金融欺诈 # FIN5 TTP | 技术 | MITRE ID | |-----------|----------| | 暴力破解 | T1110 | | 凭据转储 | T1003 | | 有效账户 | T1078 | | 远程服务 | T1021 | | 自动收集 | T1119 | | 代理使用 | T1090.002 | | 清除日志 | T1070.001 | | 文件删除 | T1070.004 | # FIN5 失陷指标 相关的工具和指标包括： - RawPOS - PsExec - pwdump - SDelete - 可疑的 VPN/RDP 登录 - 内存抓取活动 # 威胁对比 | 特征 | Darkhotel | FIN5 | |---------|-----------|------| | 类型 | APT 组织 | 网络犯罪组织 | | 动机 | 间谍活动 | 经济利益 | | 目标 | 贵宾 (VIP) 客户 | 酒店企业 | | 入侵方式 | Wi-Fi / 网络钓鱼 | 凭据滥用 | | 影响 | 数据间谍 | 金融盗窃 | | 复杂程度 | 非常高 | 高 | # 高危风险评估 ## 高危组织：FIN5 FIN5 被评估为高危威胁组织，因为它： - 直接针对酒店基础设施 - 专注于金融盗窃 - 针对支付系统 - 造成直接的业务损害 - 利用客户的财务数据 # 风险评估 | 风险因素 | 评估 | |-------------|------------| | 可能性 | 高 | | 影响 | 非常高 | | 检测难度 | 困难 | | 扩散潜力 | 高 | # 安全建议 ## 1. 保护酒店 Wi-Fi 基础设施 - 网络分段 - 安全的强制门户 - 非法接入点监控 ## 2. 改进网络钓鱼防护 - 高级电子邮件过滤 - 附件沙箱化 - 员工安全意识培训 ## 3. 强制执行多因素认证 - MFA 实施 - 登录异常检测 - 特权账户监控 ## 4. 加强 POS 安全 - 端到端加密 - 支付 Token 化 - 内存抓取检测 ## 5. 部署端点检测与响应 (EDR) - 检测 PowerShell 滥用 - 检测凭据转储 - 自动化威胁响应 ## 6. 集中日志管理和 SIEM - 日志聚合 - 身份验证监控 - 事件响应规划 # 道德考量 ## OSINT 使用 所有研究严格依赖于： - 公开可访问的信息 - 被动侦察 - 符合道德的情报收集 ## 隐私与保密性 - 未访问真实的客户数据 - 未进行任何利用 - 分析保持在理论和研究层面 ## 法律合规性 - 未扫描实时系统 - 未进行未经授权的测试 - 未执行任何有害操作 # 经验教训 ## 核心经验 - 人为错误仍然是网络安全的主要弱点 - 酒店组织是价值目标 - 威胁行为者会结合使用多种攻击技术 - 凭据滥用仍然非常有效 ## 有趣的发现 - 酒店 Wi-Fi 被用作攻击向量 - 使用合法凭据以逃避检测 - 暴露基础设施的规模庞大 ## 未来改进方向 - 开发 MITRE ATT&CK Navigator 可视化 - 纳入更深入的泄露案例研究 - 扩展基础设施关联分析 # 结论 本项目展示了在酒店行业内部采取主动和多层网络安全策略的重要性。 通过 OSINT 技术和威胁情报分析，该评估识别了： - 公开暴露的基础设施 - 潜在攻击向量 - 真实的威胁场景 - 威胁行为者方法论 - 防御性安全建议 这些发现强化了以下方面的重要性： - 持续监控 - 纵深防御策略 - 安全意识培训 - 事件响应准备 - 强大的身份验证控制 网络安全不仅在于预防，还在于： - 检测 - 响应 - 持续改进 [阅读我](https://drive.google.com/file/d/12pDFUxGSfUcu2XEAXT74lp-IgOC1CueU/view?usp=sharing) # 作者 ## Iyabo Uwadiae 网络安全分析师 | OSINT 研究员 | 威胁情报爱好者

标签：Cloudflare, DNS分析, ESC4, GitHub, Google Dorking, Maltego, MITRE ATT&CK, OSINT, SEO检索词, theHarvester, 反取证, 合规与道德黑客, 威胁情报, 威胁行为者画像, 子域名枚举, 安全工具库, 安全建议, 安全评估, 实时处理, 密码管理, 开发者工具, 情报收集, 攻击面分析, 数字基础设施, 渗透测试准备, 漏洞研究, 系统安全, 网络安全, 被动侦察, 酒店行业, 隐私保护