OSINT - Analyse Tools fürs Netzwerk

Posted by Guenny on Monday, 26. December 2022

Der Begriff OSINT (Open Source Intelligence) ist nicht erst seit 2022 ein allgemein bekannter Begriff, hat allerdings durch den Krieg in der Ukraine, Krisen und dem Durst nach Informationsgewinnung, viel Aufschwung erfahren. Das erste Mal wurde die Öffentlichkeit durch Bellingcat im Jahr 2012 darauf aufmerksam.

Der Begriff steht für die Informationsgewinnung aus öffentlichen Daten. Dabei helfen Tools, diese Daten zu analysieren, zu interpretieren und zu sortieren. Gerade im Netzwerkbereich finden sich hier spannende Programme.

Ich selbst nutze für persönliche Zwecke diverse öffentliche bzw. freie Tools, sei es zur Netzwerkanalyse, für verdächtige E-Mailheader oder zum DNS Check. Möglichkeiten gibt es sehr viele.

Dabei ist eine kleine Liste zusammen gekommen, welche ich euch gerne zur Verfügung stellen möchte.

Eine dauerhaft aktualisierte Liste findet ihr in Zukunft unter osint.itrig.de.

Browser User Agent & Bot Analyse (online)

https://whatmyuseragent.com
https://robotsdb.de/robots-verzeichnis
https://www.cimtools.net/en/extra/bots_list.php

Domain Certificates SSL Check (lokal)

https://github.com/drwetter/testssl.sh

Domain Certificates SSL Check (online)

https://ciphersuite.info
https://crt.sh
https://www.ssllabs.com/ssltest
https://observatory.mozilla.org
https://ciphersuite.info

Domain DNS Tools (lokal)

https://github.com/darkoperator/dnsrecon

Domain DNS Tools (online)

https://dnsdumpster.com
https://www.whatsmydns.net
https://toolbox.googleapps.com/apps/dig
https://viewdns.info

Domain URL Tools (online)

https://osint.sh
https://urlscan.io
https://www.brightcloud.com/tools/url-ip-lookup.php
https://unshorten.me
https://securitytrails.com
https://www.maxmind.com/en/locate-my-ip-address

Firmen Analyse (online)

https://www.bundesanzeiger.de
https://www.insolvenzbekanntmachungen.de
https://www.northdata.de

Git Search Tools (online)

https://grep.app

IP Search & Scan Tools (lokal)

https://github.com/robertdavidgraham/masscan

IP Search & Scan Tools (online)

https://www.shodan.io/explore
https://search.censys.io
https://fullhunt.io

Mail Analyse Tools (lokal)

https://github.com/ninoseki/eml_analyzer
https://github.com/cyberdefenders/email-header-analyzer
https://thatsthem.com/reverse-email-lookup

Mail Analyse Tools (online)

https://hunter.io
https://emailrep.io
https://eml-analyzer.herokuapp.com
https://www.spf-record.de
https://toolbox.googleapps.com/apps/messageheader

Malware & File Analyse (lokal)

https://github.com/mandiant/capa
https://github.com/horsicq/Detect-It-Easy

Malware & File Analyse (online)

https://labs.inquest.net
https://www.virustotal.com/gui/home/search
https://www.filescan.io/scan

Messenger Analyse (online)

https://telemetr.io (telegram)

Multitools (lokal)

https://github.com/pyhackertarget/hackertarget
https://github.com/laramies/theHarvester

Multitools Browser Add-ons

https://github.com/ninoseki/mitaka
https://addons.mozilla.org/de/firefox/addon/hacktools

Network BGP / ASN Tools (online)

https://bgp.he.net
https://www.peeringdb.com
https://bgp.tools
https://bgpstream.crosswork.cisco.com

Sammlungen - Collections

https://github.com/jivoi/awesome-osint
https://github.com/cipher387/osint_stuff_tool_collection
https://osintframework.com

Schwachstellen - CVE (online)

https://www.cvedetails.com
https://www.cve.org
https://www.opencve.io

Sonstiges

https://iknowwhereyourcatlives.com (Katzen)
https://intelx.io (Darkweb)
https://github.com/secdev/scapy (Traffic Tests)
https://locust.io (Traffic Tests)

Website Traffic

https://www.similarweb.com/de

Webtech Analyse (online)

https://www.wappalyzer.com
https://osint.sh/stack
https://website.informer.com
https://builtwith.com
https://www.whatruns.com

IIS Crypto 3.3 - Protokolle und Cipher Suites unter Windows verwalten

Posted by Guenny on Monday, 7. November 2022

Um Cipher Suites auf Windows Servern zur verwalten, muss in die Registry (HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL) eingegriffen werden. Nartac Software möchte diesen Eingriff am offenen Herzen vereinfachen und bietet seit Jahren das Tool IIS Crypto an.

IIS Crypto 3.3

IIS Crypto ermöglicht die einfache Verwaltung von Server-Protokollen, Chipers, Hashes und Schlüsselaustauschalgorithmen unter einer Oberfläche.

Ich habe dieses Tool früher oft verwendet, um Windows Server zu härten. Es werden die Versionen 2008, 2012, 2016, 2019 und 2022 unterstützt. Am besten hat mir die Möglichkeit gefallen, Cipher Suites neu anzuordnen.

Neben Windows Server 2022 wurde in der aktuellen Version die Unterstützung für TLS 1.3 implementiert.

Vorhandene Vorlagen wurden angepasst. So werden im Strict Template nun CBC Ciphers Suites unter Windows 2016 und höher entfernt.

iss-crypto

Fazit

Wenn man bedenkt, wie lange TLS 1.3 bereits im Einsatz ist, haben sich die Entwickler hinter IIS Crypto sehr (sehr) viel Zeit gelassen.

Unabhängig davon bietet das Tool mit seinen Best Practices (siehe Screenshot) unerfahrenen Nutzern eine einfache Möglichkeit, Windows Server zu härten und besser abzusichern.

Serverumzug mit Serendipity - Datenbank Update notwendig

Posted by Guenny on Sunday, 24. October 2021

Vor einiger Zeit ist ITrig auf einen neuen Server umgezogen.

Nach dem Umzug wollte das Blog nicht mehr so richtig funktionieren. Auch der Adminbereich war nicht mehr erreichbar und zeigte komische Fehler an. Nach etwas Recherche war schnell klar, dass bei Serendipity Pfade leider hart in der Datenbank stehen, welche nicht mehr auf die neue Serverstruktur passten.

Da diese Schritte nicht in der Umzugsanleitung der S9y Seite vorhanden sind, bzw. ich sie einfach nicht gefunden habe, möchte ich hier das Vorgehen dokumentieren.

Serendipity Blog Pfad in der Datenbank anpassen

Zunächst wird die Ausgabe des aktuellen Pfads geprüft.

mysql -uroot -p
USE s9y_db;
SELECT * FROM `serendipity_config` WHERE name='serendipityPath'

               serendipityPath               /alterPfad/html/www/

Nun kann der Pfad auf die neue Struktur aktualisiert werden.

UPDATE `serendipity_config` set value = '/neuerPfad/' WHERE name = 'serendipityPath';

Ein weiterer Wert, der vielleicht angepasst werden muss ist serendipityHTTPPath.

SELECT * FROM `serendipity_config` WHERE name='serendipityHTTPPath'

UPDATE `serendipity_config` set value = '/NeuerPfad/' WHERE name = 'serendipityHTTPPath';

Sollte sich zusätzlich die URL geändert haben, dann kann auch diese direkt angepasst werden.

SELECT * FROM `serendipity_config` WHERE name = 'defaultBaseURL';

UPDATE `serendipity_config` set value = 'https://neuedomain.de' WHERE name = 'defaultBaseURL';

Nun sollte das System wieder wie gewohnt auf dem neuen Server erreichbar sein.

Security: GVM 21.04 - mit Docker in 15 Minuten zum OpenVAS Schwachstellen Scanner

Posted by Guenny on Friday, 20. August 2021

OpenVAS bzw. Greenbone Vulnerability Manager ist nicht ganz einfach zu installieren, da viele Abhängigkeiten und Pakete gebaut werden müssen.
Eine etwas ältere Anleitung ist noch auf ITrig zu finden.

Mithilfe von Docker kann der Installationsprozess stark beschleunigt werden.
Händische Konfigurationen und Updates fallen weg und innerhalb kurzer Zeit steht ein vollständig eingerichtetes Schwachstellenmanagement zur Verfügung.

GVM 21.04 mit Docker Compose installieren

Zunächst sollte Docker installiert werden.

Docker Debian installieren

apt remove docker docker-engine docker.io containerd runc
apt update
apt install apt-transport-https ca-certificates curl gnupg lsb-release git

curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

echo \
  "deb [arch=amd64 signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/debian \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

apt update
apt install docker-ce docker-ce-cli containerd.io

Docker Ubuntu installieren

sudo apt remove docker docker-engine docker.io containerd runc 
sudo apt update
sudo apt install apt-transport-https ca-certificates curl gnupg lsb-release git

sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

sudo echo \
  "deb [arch=amd64 signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

sudo apt update
sudo apt install docker-ce docker-ce-cli containerd.io

Docker Compose darf ebenfalls nicht fehlen

Docker Compose Debian/Ubuntu installieren

sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

sudo chmod +x /usr/local/bin/docker-compose

docker-compose --version

Installation GVM 21.04 mit Docker

# Clonen/Installieren
cd /opt
sudo git clone https://github.com/immauss/openvas.git

# Admin pw anpassen
cd openvas/
nano docker-compose.yml

# System starten
docker-compose up -d

#Logs anschauen
docker-compose logs -f

#Server überprüfen
ss -lntp |grep 8080

Der erste Start kann recht lange dauern, da im Hintergrund alle NVTs geladen werden.

Der Installationsfortschritt kann mit docker-compose logs -f verfolgt werden.

Sollten Fehler passieren, hilft meist ein Neustart des Vorgangs. Gleiches gilt für ein Update der Signaturen.

openvas-docker

#Neustart oder Signaturen aktualisieren
cd /opt/openvas
sudo docker-compose down && docker-compose up -d

#Neueste Logs prüfen
sudo docker-compose logs --tail="50"

Schlussendlich ist das Tool unter http://localhost:8080/login erreichbar und einsatzfähig.

Allerdings empfehle ich einen Proxy mit HTTPS vorzuschalten und den Port 8080 auf Localhost umzubiegen.

Ein Proxy könnte im Docker-Compose File integriert oder direkt installiert werden.

Docker-Compose anpassen

Das Umbiegen auf Localhost, kann im Docker Compose File vorgenommen werden.

#Beispiel für eine Anpassung der docker-compose.yml

version: "3"
services:
  openvas:
    ports:
      - "127.0.0.1:8080:9392"
    environment:
      - "PASSWORD=notyouradmin!"
      - "USERNAME=admin"
      - "RELAYHOST=172.17.0.1"
      - "SMTPPORT=25"
      - "REDISDBS=512" # number of Redis DBs to use
      - "QUIET=false"  # dump feed sync noise to /dev/null
      - "NEWDB=false"  # only use this for creating a blank DB
      - "SKIPSYNC=false" # Skips the feed sync on startup.
      - "RESTORE=false"  # This probably not be used from compose... see docs.
      - "DEBUG=false"  # This will cause the container to stop and not actually start gvmd
      - "HTTPS=false"  # wether to use HTTPS or not
      - "GMP=false"    # to enable see docs
    volumes:
      - "openvas:/data"
    container_name: openvas
    image: immauss/openvas
volumes:
  openvas:

Nginx Proxyserver einrichten

Hier ein Beispiel für einen Nginx Proxyserver (ohne Docker)

apt install nginx
sudo rm /etc/nginx/sites-enabled/default

Ein Zertifikat erstellen

 sudo openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes   -keyout gvm.itrig.key -out gvm.itrig.crt -subj "/CN=gvm.itrig.de"   -addext "subjectAltName=DNS:security.itrig.de,DNS:gvm.itrig.de,IP:192.168.0.111"

#Beispiel für eine Nginx Proxy Config

nano /etc/nginx/sites-available/openvas

server {
  server_name localhost;
   listen 443 ssl http2;
   ssl_certificate     /etc/ssl/gvm.itrig.de.crt;
   ssl_certificate_key /etc/ssl/gvm.itrig.de.key;
   ssl_session_timeout 1d;
   ssl_session_cache shared:MozSSL:10m;  # about 40000 sessions
   ssl_session_tickets off;
   ssl_protocols TLSv1.2 TLSv1.3;
   ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
   ssl_prefer_server_ciphers off;
   resolver 127.0.0.1;
   

    location / {
        proxy_pass http://localhost:8080;
    }
}

# Symlink setzen
cd /etc/nginx/sites-enabled/
ln -s ../sites-available/openvas openvas

#Neustart Nginx
systemctl restart nginx

#Kontrolle mit
systemctl status nginx
#oder
ss -lntp

Der Scanner ist nun via https://localhost/login erreichbar.

Fazit

Für einen schnellen Test und dem Lernen am System ist GVM via Docker von github.com/immauss/openvas sicherlich geeignet. Die Builds werden übrigens wöchentlich aktualisiert und beinhalten zusätzlich auch die neuesten Feed-Updates.

Um Docker, Container, Images und Co besser im Blick zu behalten, verweise ich an dieser Stelle auf Lazydocker. Das Tool bietet einen grafischen Überblick, über alle aktiven und inaktiven Docker Komponenten.

Die 30 besten VS Code Erweiterungen für Administratoren und DevOps

Posted by Guenny on Saturday, 5. June 2021

Wie bereits im letzten Artikel erwähnt, gibt es mit Visual Studio Code einen starken Editor, welcher sich mit Hilfe von Erweiterungen für jeden Einsatzzweck anpassen lässt.

Ich möchte euch einige davon vorstellen, welche sich für den Einsatz im Administrations- oder DevOps Bereich eignen.

Die 30 besten VS Code Erweiterungen

Ansible Language: Zu dieser Erweiterung muss wenig gesagt werden. Ihr erhaltet YAML Support mit Syntax Highlighting, Autovervollständigung und der mitgelieferte YAML bzw. Ansible Linter zeigt euch Fehler adhoc an.
Apache Syntax Support: Der Name ist Programm und eure Apache Config Files erstrahlen beim Editieren in neuem Glanz, dank Syntax Highlighting.
Atom Keymap: Solltet ihr aus der Atom Editor Welt kommen und eure alten Shortcuts vermissen, dann hilft das Plugin ungemein.
Better Jinja: Das Arbeiten mit Jinja Templates kann schnell in die Verzweiflung führen. Durch diese Erweiterung erhaltet ihr neben Jinja auch Support für HTML, Markdown, YAML, CSS, Docker, Python und uvm. in euren Dateien.
Better Toml: Tom's Obvious, Minimal Language kommt immer mal wieder vor. Einige werden die Dateien von Gitlab kennen. Die Extension sorgt für bessere Lesbarkeit beim Editieren.
Confluence: Atlassians Wiki Lösung findet sich sehr häufig in Unternehmen. Aus diesem Grund kommen einige sicher öfters mit deren Markup in Berührung. Hier gibt es Unterstützung für Confluence® and Jira® Markup.
Debian Package Syntax Highlighting: Nur für diejenigen, die öfters mit DEB Paketen zu tun haben.
Docker: Eigentlich schon essentiell, Docker Unterstützung für VS Code.
Git History: Für Git fast unverzichtbar. Bereitet Logs auf, nimmt Grafiken zu Hand, kann vergleichen usw.
Git Lens: Der selbst ernannte Supercharger. Bietet ähnlich wie Git History eine schöne Log Übersicht. Zusätzlich dazu kommen Features wie Revision Navigation, History Anzeige in der Status Bar oder der aktuellen Zeile.
Gremlins Tracker: Wer kenn es nicht, ein unerwünschtes Leerzeichen sorgt im Code für Aufregung. Gremlins werden sie von dieser Erweiterung genannt und als solche auch in der Sidebar sichtbar gemacht.
Hugo Language Support: NutzerInnen des Frameworks wird mit Syntax Highlighting und Snippets das Webseiten bauen erleichtert.
Indent Rainbow: Einer meiner Favoriten, macht Nichts anderes als Einrückung kolorieren. Das hilft nicht nur bei YAML Dateien ungemein.
Jinja Syntax Highlighting: Jinja kann durchaus hilfreich sein, leider geht auch schnell die Übersicht im Code verloren. Durch Syntax-Hervorhebung kann dem aber vorgebeugt werden.
Kubernetes: Die Beschreibung im Marketplace sagt eigentlich alles: Develop, deploy and debug Kubernetes applications
Nginx Configuration Language Support: Autovervollständigung bei der NGINX Konfiguration, nicht mehr und nicht weniger. Allerdings nicht mehr ganz aktuell.
Notepad++ Keymap: Für Umsteiger eignet sich diese Notepad++ Keymap.
OpenSSL Utilities: Auf ITrig hatte ich bereits Anleitungen, wie Private Key, CSR oder self-signed Zertifikate über die Kommandozeile erstellt werden. Die Erweiterung erlaubt euch das Erstellen ohne weitere Kenntnisse der CLI Befehle direkt in Visual Studio Code.
Prettier: Schöner programmieren mit Prettier - Code formatter. Das Tools formatiert euren Code automatisch. Unterstützt werden JavaScript, TypeScript, Flow, JSX, JSON, CSS, SCSS, Less, HTML, Vue, Angular, GraphQL, Markdown, YAML.
Projekt Manager: Wenn an mehreren Projekten gleichzeitig gearbeitet wird, kann es sinnvoll sein die Verwaltung dieser zu verbessern.
Rainbow Brackets: Es wird wieder bunt. Regenbogenfarben für die runden Klammern, die eckigen Klammern und die verschnörkelten Klammern.
Remote SSH: Dateien direkt auf Servern editieren kann durchaus praktisch sein.
Salt-lint. Einfacher Linter für States und Pillars
Saltstack: Analog zum Salt-Linter ist dieser Syntax Highlighter für Saltstack ein Muss.
Snort: NIDS/NIPS in Farbe.
Sort: Wörter alphabetisch sortieren, einfach shift+alt+s drücken
Tomcat for Visual Code: Tomcat Server direkt aus VS Code starten und war Pakete debuggen.
Toml Language Support: Ein weiterer Formater für Toml Dateien.
XML Support: Alles was es für XML braucht in einem Plugin.
YAML: Voller YAML Support mit Kubernetes Unterstützung.