Kolekcjonowanie dowodów: recon a zrzuty ekranowe stron w sieci [OSINT hints]

Popularne stwierdzenie zawarte w tytule staje się jeszcze bardziej adekwatne w momencie, kiedy zdamy sobie sprawę, że strona, którą kiedyś odwiedziliśmy już nie istnieje, w archiwum typu  Wayback Machine nie została zarchiwizowana, my akurat zapomnieliśmy zrobić zrzutu ekranu lub już nie jesteśmy w stanie przypomnieć sobie, jak doszliśmy do aktualnie otwartej jednej z kilkudziesięciu zakładek w przeglądarce. Sam proces tworzenia screenshotów potrafi także zajmować dużą porcję cennego czasu i uwagi. Więc czemu tego nie zautomatyzować?

WMN_screenshooter

Jakiś czas temu pisałem o narzędziu, które służy do wyszukiwania profili o konkretnym loginie na ponad 280 serwisach: w mediach społecznościowych, na popularnych forach internetowych czy innych stronach – WhatsMyName (autorstwa WebBreachera). Jeśli chcecie dodatkowo mieć widoki wszystkich stron, na których znaleziono użytkownika o poszukiwanej nazwie, możecie skorzystać z bazującego na WhatsMyName skryptu autorstwa swedishmike’a – WMN_screenshooter. Instalacja sprowadza się standardowo do ściągnięcia repozytorium z GitHuba i zainstalowaniu zależności. Dodatkowo należy wskazać bazę stron do przeszukiwania z narzędzia WhatsMyName (w pliku .json), przy czym potrzebny jest nam tylko ten jeden plik, a nie całe narzędzie.

Po znalezieniu stron, na których konto poszukiwanego użytkownika istnieje, skrypt robi zrzuty ekranów i wrzuca je do indywidualnego katalogu dla danego wyszukiwania. Minusem tego rozwiązania jest jego stabilność, bo niestety w przypadku pewnej liczby przeszukiwanych serwisów pojawiają się błędy, które często uniemożliwiają przeprowadzenie pełnego skanowania. Ratunkiem w moim przypadku była jedynie ręczna modyfikacja pliku json i usuwanie wpisów powodujących błędne działanie.

Eyewitness

Drugim z narzędzi, które można „zaprzęgnąć” do robienia zrzutów ekranu podczas rekonesansu jest Eyewitness, przy czym jego możliwości wykraczają znacznie poza screenshoty. Zasilony danymi z pliku tekstowego z listą adresów (po jednym na linię) lub pliku xml wygenerowanego z nmap-a czy nessusa, wykonuje weryfikację możliwości połączenia, zrzuca aktualny wygląd strony i podstawowe informacje o hoście, przy czym bada nie tylko strony (http/https), ale i dostęp po RDP czy VNC (w tym drugim przypadku tylko w ustawieniu bez uwierzytelnienia).

Dodatkowo może to robić poprzez proxy, zmieniać rodzaj urządzenia/oprogramowania, które próbuje się łączyć (manipulacja polem User-Agent), a także wykonywać próby logowania w celu wykrycia danych logowania. Żeby było jeszcze przyjemniej, należy dodać, że narzędzie jest dostępne nie tylko na systemy linuksowe (Kali/Debian 7+), ale także w wersji do samodzielnej kompilacji pod Windows – otrzymujemy wtedy ten sam program w formie pliku .exe.

Fragment raportu z Eyewitness ze zrzutem strony i danymi o hoście

Dodatki

Jeśli już jesteśmy przy archiwizacji stanu przeglądanych stron internetowych, warto wspomnieć też o wtyczkach do przeglądarek. Jednym z lepiej działających dodatków / wtyczek / rozszerzeń, jest moim zdaniem FireShot (jest wersja dla Firefox, dla Chrome, Edge i innych przeglądarek), który nawet w darmowej wersji pozwala na przechwycenie całej strony jednym skrótem klawiszowym (przy okazji – pamiętajcie, żeby nie ufać dodatkom do przeglądarek i weryfikować ich pochodzenie przed instalacją). Dużo opcji oferuje także dodatek Nimbus (dla Firefox i Chrome).

Co ciekawe, funkcje zapisu całych stron do obrazka czy PDF-a powoli stają się częścią samych przeglądarek – Firefox ma od jakiegoś czasu opcję „Wykonaj zrzut ekranu” w menu kontekstowym, a w Edge pod skrótem Ctrl+Shift+S mamy opcję (dostępną także z menu) „Przechwycenie sieci Web”, która wbrew nazwie służy jedynie do wykonywania zrzutu ekranu i umożliwia dodawanie późniejszych adnotacji i zapisywanie go jako obrazka, podobnie do funkcji „Wycinek i szkic” w Windowsie.

Przeglądarkowe, darmowe narzędzia wymagają niestety interakcji użytkownika – jeśli chcemy mieć narzędzie, które będzie podążało za naszymi działaniami w sieci, to warto pomyśleć o opcjach płatnych, jak na przykład Hunchly, które jest jednym z najpopularniejszych narzędzi do wspomagania i archiwizacji śledztw OSINT-owych (chociaż trzeba zaznaczyć, że nie współpracuje z Firefoksem).

Na koniec jeszcze kilka słów o zapisywaniu ekranu w formie nieco bardziej dynamicznej – do tworzenia filmików ze swoich działań, sprawdźcie Screenity – rozszerzenie do Chrome, które nagrywa ekran, pozwala wprowadzać dodatkowe opisy i rysować na ekranie, wskazywać kliknięcia, dodawać dźwięk i eksportować filmy.

Krzysztof Wosiński (@SEINT_pl), prowadzi szkolenia OSINT master #1 oraz OSINT master #2