Este documento presenta el simulador Elena, creado para apoyar cursos de formación en cibervigilancia. El simulador ofrece escenarios en formato árbol de decisiones o simulación técnica para que los analistas practiquen técnicas de cibervigilancia. Incluye herramientas virtualizadas y máquinas preparadas. El objetivo es ofrecer una experiencia lo más realista posible y guiar a los usuarios en la aplicación de procedimientos de investigación.
OSINT - Open Source Intelligence by Rohit Srivastwa at c0c0n - International Cyber Security and Policing Conference http://is-ra.org/c0c0n/speakers.htm
OSINT: Open Source Intelligence gathering 101
Slides from my talk on OSINT. I listed examples in the slides about tools, legal methods for both online and physical information security reconnaissance.
OSINT - Open Source Intelligence by Rohit Srivastwa at c0c0n - International Cyber Security and Policing Conference http://is-ra.org/c0c0n/speakers.htm
OSINT: Open Source Intelligence gathering 101
Slides from my talk on OSINT. I listed examples in the slides about tools, legal methods for both online and physical information security reconnaissance.
OSINT: Open Source Intelligence - Rohan BraganzaNSConclave
Speaker is going to conduct hands-on training on how an individual can use Open-source intelligence (OSINT) to collect data from publicly available sources. Speaker will showcase tools and techniques used in collecting information from the public sources.
https://nsconclave.net-square.com/advanced-reconnaissance-using-OSINT.html
OSINT is defined by both the U.S. Director of National Intelligence and the U.S. Department of Defense (DoD), as "produced from publicly available information that is collected, exploited, and disseminated in a timely manner to an appropriate audience for the purpose of addressing a specific intelligence requirement.
SOURCE :https://en.wikipedia.org/wiki/Open-source_intelligence
Open-source intelligence (OSINT) is intelligence collected from publicly available sources. In the intelligence community (IC), the term "open" refers to overt, publicly available sources (as opposed to covert or clandestine sources); it is not related to open-source software or public intelligence.
Durante l’intervento verranno presentati i cardini del processo di ricerca delle informazioni mediante la consultazione di fonti di pubblico accesso. Sarà illustrata la teoria alla base di questo processo che prevede l’identificazione delle fonti, la selezione e la valutazione del loro contenuto informativo per arrivare infine all’utilizzo stesso dell’informazione estratta. Nella seconda fase della presentazione verranno mostrati i tool e le metodologie per l’estrazione di informazioni mediante l’analisi di documenti, foto, social network e altre fonti spesso trascurate. In ultimo saranno mostrati sistemi in grado di correlare diverse informazioni provenienti dalle fonti aperte e verranno discussi i relativi scenari di utilizzo nonché le possibili contromisure.
Presentación usada por Jorge Coronado (@JorgeWebsec) en la primera edición de Data Beers Sevilla sobre OSINT y su uso en investigaciones reales por la empresa QuantiKa14
Search & Rescue and Missing Persons’ investigations often come to a standstill due to lack of information. How can technology change that? Robert Sell will explore the answer. We will hear how crowdsourced OSINT can be successfully used by emergency services and law enforcement, providing lifesaving information to fill the gaps and bring loved ones back to their families.
Robert Sell, OSINT expert and Founder, Trace Labs
Threat hunting - Every day is hunting seasonBen Boyd
Breakout Presentation by Ben Boyd during the 2018 Nebraska Cybersecurity Conference.
Introduction to Threat Hunting and helpful steps for building a Threat Hunting Program of any size, from small to massive.
Descripción de algunas técnicas y herramientas utilizadas para la recopilación de información disponible en fuentes abiertas (open sources) en Internet.
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...Falgun Rathod
As per Wiki - Open-source intelligence (OSINT) is intelligence collected from publicly available sources. In the intelligence community (IC), the term "open" refers to overt, publicly available sources (as opposed to covert or clandestine sources); it is not related to open-source software or public intelligence.
There are lots of other ways to collect information from Public Source which may not provided in this document, This is just an Introductory Document for whose who are beginners and students.
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
Ponencia impartida en OSINTCity 2020 junto a mi compañero Gonzalo Espinosa, donde hablamos sobre los diferentes tipos de datos que pueden ser obtenidos con la ciberinteligencia y como categorizarlos por medio de una metodología automatizada de datos interconectados mediante la teoría de sistemas o grafos.
En la parte práctica mostramos una demo de como recopilar información de diversas fuentes partiendo de tres datos máximo de una organización objetivo. Con los datos recopilados tratamos de reconstruir un mapa virtual de los activos que están expuestos de la propia organización en Internet y finalizamos el ejercicio viendo estadísticas de la situación actual del objetivo en comparación con el resto de empresas de su sector a modo benchmarking.
OSINT: Open Source Intelligence - Rohan BraganzaNSConclave
Speaker is going to conduct hands-on training on how an individual can use Open-source intelligence (OSINT) to collect data from publicly available sources. Speaker will showcase tools and techniques used in collecting information from the public sources.
https://nsconclave.net-square.com/advanced-reconnaissance-using-OSINT.html
OSINT is defined by both the U.S. Director of National Intelligence and the U.S. Department of Defense (DoD), as "produced from publicly available information that is collected, exploited, and disseminated in a timely manner to an appropriate audience for the purpose of addressing a specific intelligence requirement.
SOURCE :https://en.wikipedia.org/wiki/Open-source_intelligence
Open-source intelligence (OSINT) is intelligence collected from publicly available sources. In the intelligence community (IC), the term "open" refers to overt, publicly available sources (as opposed to covert or clandestine sources); it is not related to open-source software or public intelligence.
Durante l’intervento verranno presentati i cardini del processo di ricerca delle informazioni mediante la consultazione di fonti di pubblico accesso. Sarà illustrata la teoria alla base di questo processo che prevede l’identificazione delle fonti, la selezione e la valutazione del loro contenuto informativo per arrivare infine all’utilizzo stesso dell’informazione estratta. Nella seconda fase della presentazione verranno mostrati i tool e le metodologie per l’estrazione di informazioni mediante l’analisi di documenti, foto, social network e altre fonti spesso trascurate. In ultimo saranno mostrati sistemi in grado di correlare diverse informazioni provenienti dalle fonti aperte e verranno discussi i relativi scenari di utilizzo nonché le possibili contromisure.
Presentación usada por Jorge Coronado (@JorgeWebsec) en la primera edición de Data Beers Sevilla sobre OSINT y su uso en investigaciones reales por la empresa QuantiKa14
Search & Rescue and Missing Persons’ investigations often come to a standstill due to lack of information. How can technology change that? Robert Sell will explore the answer. We will hear how crowdsourced OSINT can be successfully used by emergency services and law enforcement, providing lifesaving information to fill the gaps and bring loved ones back to their families.
Robert Sell, OSINT expert and Founder, Trace Labs
Threat hunting - Every day is hunting seasonBen Boyd
Breakout Presentation by Ben Boyd during the 2018 Nebraska Cybersecurity Conference.
Introduction to Threat Hunting and helpful steps for building a Threat Hunting Program of any size, from small to massive.
Descripción de algunas técnicas y herramientas utilizadas para la recopilación de información disponible en fuentes abiertas (open sources) en Internet.
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...Falgun Rathod
As per Wiki - Open-source intelligence (OSINT) is intelligence collected from publicly available sources. In the intelligence community (IC), the term "open" refers to overt, publicly available sources (as opposed to covert or clandestine sources); it is not related to open-source software or public intelligence.
There are lots of other ways to collect information from Public Source which may not provided in this document, This is just an Introductory Document for whose who are beginners and students.
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
Ponencia impartida en OSINTCity 2020 junto a mi compañero Gonzalo Espinosa, donde hablamos sobre los diferentes tipos de datos que pueden ser obtenidos con la ciberinteligencia y como categorizarlos por medio de una metodología automatizada de datos interconectados mediante la teoría de sistemas o grafos.
En la parte práctica mostramos una demo de como recopilar información de diversas fuentes partiendo de tres datos máximo de una organización objetivo. Con los datos recopilados tratamos de reconstruir un mapa virtual de los activos que están expuestos de la propia organización en Internet y finalizamos el ejercicio viendo estadísticas de la situación actual del objetivo en comparación con el resto de empresas de su sector a modo benchmarking.
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...Wiktor Nykiel ✔
Taller impartido en la Universidad de Alcalaá de Henares duraante loas jornadas de Ciberseguridad y Ciberdefensa. En el mismo se trata el desarrollo de herramientas que ayudan en la búsqueda de información en fuentes OSINT, para analizar y diseminar la información de valor, para finalmente crear herramientas de inteligencia para automatizar el proceso.
El alumno aprenderá a investigar un problema concreto y crear herramientas que permita resolverlo con una solución de manera rápida y óptima.
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
Taller impartido por Iván Portillo y Pedro Cisneros en IntelCon 2020 bajo el título "La reactividad del forense digital vs la proactividad de la inteligencia de amenazas".
En la actualidad, el análisis forense digital y la ciberinteligencia son disciplinas que se complementan a la perfección. La primera esta más enfocada a obtener evidencias “post mortem”, siendo un análisis totalmente reactivo. En cambio con la ciberinteligencia no solo pretendemos tomar la mejor decisión de mitigación frente a un incidente que ya ha comprometido algún activo de la organización, sino que nos permita anticiparnos de manera proactiva a posibles amenazas que aun no han entrado en contacto con nuestros activos digitales.
En el presente taller os mostraremos un análisis reactivo vs un análisis proactivo utilizando herramientas opensource. Por un lado analizaremos paso a paso una amenaza recién detectada de manera manual y por otro lado veremos cómo identificar otros TTPs o indicadores de compromiso que puedan llegar a estar relacionadas con la propia amenaza y que no han interactuado todavía con la organización.
Descripción:
Las vulnerabilidades de seguridad, tales como configuraciones incorrectas, sistemas sin parches, arquitecturas inadecuadas, continúan plagando las organizaciones. Las empresas necesitan personal que encuentre estas fallas de forma profesional, para erradicarlas de la infraestructura tecnológica. Algunas personas pueden tener habilidades en Pruebas de Penetración, Hacking Ético, o Evaluaciones de Seguridad, pero muy pocas pueden aplicar estas habilidades con un régimen metódico de evaluaciones profesionales para ayudar incrementar el nivel de seguridad en las organizaciones. Este curso enseña a los participantes la manera de realizar Pruebas de Penetración a redes de forma satisfactoria para mejorar la postura de seguridad de la empresa.
Objetivos:
Los participantes aprenderán a realizar un reconocimiento detallado, aprenderán sobre infraestructura del objetivo, mediante investigación en blogs, buscadores, y redes sociales. Luego se enfocará la atención en la fase de escaneo, experimentando con algunas herramientas en ejercicios prácticos. La fase de explotación incluye la utilización de Frameworks de explotación, exploits manuales y otras tácticas valiosas, todo realizado con ejercicios prácticos en un entorno de laboratorio controlado. El curso también mostrará como preparar un reporte ejecutivo. Durante el desarrollo del curso se incluyen ejercicios prácticos para realizar una prueba de penetración contra una organización hipotética, siguiendo todos las fases detalladas.
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...Iván Portillo
Ponencia impartida en Cybersecurity Day por Iván Portillo y Wiktor Nykiel bajo el título "Threat Intelligence en el ámbito de la ciberinteligencia y de la informática forense".
Ponencia técnica donde explicamos cómo la ciberinteligencia y el forense pueden estar relacionados por medio de la inteligencia de amenazas a través de casos prácticos.
Seguridad actual
•
Que es un hacker?
•
La importancia de nuestros datos
•
OSINT
•
Fases de hacking
•
Ataques
•
Controla tu exposición digital
•
Como convertirse en un profesional de la seguridad
Ransonware: introducción a nuevo Virus InformáticoJuan Astudillo
Una breve introducción a este nuevo tipo de Virus Informático. Un poco de Historia del Virus, descripción de alguno de sus tipos y conocer algunas medidas de mitigación.
control de emisiones de gases contaminantes.pptxjesusbellido2
en el siguiente documento s epodra apreciar los gases que emiten los vehiculos y sus consecuencias tambien se podra apreciar las normas euro cino y las normas euro seis
Los emprendimientos socio productivos generan bienes y servicios en los territorios, con el propósito de que los procesos de producción activen al mercado y facilite el desarrollo personal mediante la integración social de los agentes sociales excluidos.
10. Máquina para el analista
Máquina virtual desarrollada y configurada
específicamente para este laboratorio.
Requiere realizar la instalación del resto de
herramientas con script iniciar.sh
• Tinfoleak
• Maltego
• OSRFramework
• instagramOSINT
• instaloader
• Karma
Herramientas incluidas: • PyCharm
• Python3
• Tor Browser
• Firefox
• Plugins privacidad
y anonimato
• Keepass
• Veracrypt
• The Harvester
• Riseup VPN
• Twint
• Gephi
• Spiderfoot
• Desarrollos a medida para el taller
• Otras herramientas complementarias
Máquina Virtual específica para el laboratorio
Usuario: osint
Contraseña: osint
12. Pasos de instalación de herramientas:
1. Abrir un terminal
2. Escribir en la terminal
cd Escritorio/
./iniciar.sh
3. Al solicitar introducir la contraseña,
deberemos escribir “osint”.
4. Comenzará el proceso de
instalación automático y
desatendido.
5. Al finalizar escribir “exit” y
comenzará a instalar las imágenes
de los dockers.
Instalación 4 dummies
15. Simulador de Técnicas de Cibervigilancia
Simulador creado como herramienta de apoyo a los cursos de formación en temática de
cibervigilancia, que deseen practicar en un entorno aislado. Para poder superar los ejercicios
del simulador, es necesario aplicar las técnicas y procedimientos de recolección y tratamiento
de información que permitan obtener y plasmar las correspondientes conclusiones de un caso
que pretende representar de forma fehaciente las etapas una investigación de forma guiada.
El propósito de este elemento complementario de aprendizaje es ofrecer un entorno
autocontenido que simule un escenario real donde el analista de ciberinteligencia pueda
practicar y realizar capacitaciones de cibervigilancia.
El entorno y su itinerario han sido creados en base a la experiencia adquirida durante la
realización de numerosos cursos, los cuales han servido de base y referencia para crear esta
solución. Este simulador se ha creado 100% en España con el liderazgo del CCN-Cert –
Centro Criptológico Nacional en colaboración con Ginseg – Comunidad de Ciberinteligencia.
https://www.ccn-cert.cni.es/soluciones-seguridad/elena.html
16.
17. Escenarios en formato de: Árbol de decisiones
Tipos de escenario donde el participante tiene que tomar una serie de decisiones
en función a una reciente amenaza que esta afectando a su organización. Para
llevar a cabo este escenario será necesario aplicar una serie de actuaciones que
contrarresten la propia amenaza, utilizando para ello diversas técnicas de
cibervigilancia.
18. Escenarios en formato de: Simulación Técnica
Escenarios donde el participante tiene que emplear diversas técnicas de cibervigilancia para investigar un
suceso concreto partiendo únicamente del nombre de la entidad por ejemplo. Para tal fin, el propio analista
contará con herramientas virtualizadas dentro de su navegador web para efectuar su investigación.
20. Dominios y DNS (A, MX), Activos, IPs Rangos
Objetivo:
Empresa, institución
Dominios > MX
Usernames
Social Media
Flag
¿Beneficio económico?
¿Exfiltración de información?
¿Análisis de exposición?
¿Daño reputacional?
Vulnerabilidades
Sistemas
Footprint
Reutilización de
credenciales
Accesos
Empleados y proveedores Foros y comunidades
Posibles credenciales
de leaks anteriores
? !
¿Hasta donde puede llegar solo con el nombre del objetivo?
21. Qué tenemos
• Nombre de una de las empresas del grupo.
• Indicios de puntos de fidelización sustraídos.
• Comercios online con nuestros productos a mitad de precio.
• Indicios de correo de phishing abierto por una empleada.
Qué buscamos
• Resto de empresas del grupo para conocer su exposición.
• Sus dominios asociados, direcciones IP
, servidores de correo para reducir la superficie
de búsqueda de credenciales, etc.
• Activos a nombre de la empresa, servidores, rangos de red, etc.
• Tiendas que estén suplantando nuestra marca y vendiendo productos para blanquear
puntos de fidelidad.
• Credenciales y datos confidenciales expuestos.
• Otros datos que puedan ser de interés para un atacante.
Qué necesitamos
• Informar adecuadamente de los descubrimientos al interlocutor adecuado.
• Documentar nuestros hallazgos.
1
2
3
Nos preparamos para la batalla
22. Footprint: Dominios y DNS (A, MX), Activos, IPs Rangos
Empleados y proveedores
Objetivo: TOSA
Explorando nuestro objetivo: ¿por donde quieres comenzar la investigación?
23. Dominios y DNS (A, MX), Activos, IPs Rangos
Footprint
Objetivo: TOSA
Explorando nuestro objetivo
26. Herramienta pasiva que proporciona
información relacionada con direcciones
IP
, dominios, subdominios, DNS,
servidores de correo y blacklist.
Permite analizar ficheros, URLs,
dominios, IP o Hashes para descubrir
presencia Malware.
virustotal.com
Input Dominio, IP
, Rango IP o ASN Input URL, Dominio, IP
, Hash, Fichero
Permite buscar fugas de Información
publicadas.
pastebin.com/search?q=XXXXX
Explorando nuestro objetivo: Cómo comenzar – Introduciendo herramientas
27. Dominios y DNS (A, MX), Activos, IPs Rangos
Footprint
Objetivo: TOSA
Explorando nuestro objetivo
28. Qué tenemos
• Pagina web o dominio.
Qué buscamos
• Dirección IP a la que apunta el dominio e información asociada a la IP como tecnología que hay
detrás, protocolo usado, geolocalización, certificados, ASN, subdominios y otros dominios
disponibles.
• Registros DNS (NS, MX) y URLs
• Muestras de malware asociados al dominio, si las hubiera.
• Documentos públicos asociados al dominio.
• Credenciales, datos confidenciales expuestos y otros datos que puedan ser de interés para un
atacante.
• Evidencias a modo de históricos de la web en el tiempo.
1
2
Como comenzamos a investigar
29. Dominio
Dirección IP
Buscar Emails
Dorks
• Google
• Bing
• Yandex
• DuckDuckGo
Data Leaks
Registros NS, MX
URL
• Puertos
• Tecnología
• Protocolo
• Geolocalización
• Certificados
• ASN
• Dominios
• Subdominios
Documentos
Whois
Malware
Procedimiento
de
investigación
Como comenzamos a investigar
30. Dominio
Dirección IP
Registros NS, MX
Whois
URL
Malware
• Hunter.io
• Maltego
• Intelx
• Virustotal
• Shodan
• Censys
• Recon-ng
Herramientas
generales para
dominios
• Maltego
• Virustotal
• Shodan
• Censys
• Recon-ng
• VirusTotal
Herramienta Online Script de Nivel de Dificultad Media Script de Nivel de Dificultad Alta
Procedimiento de obtención de información mediante dominio
31. Dominios y DNS (A, MX), Activos, IPs Rangos Sistemas
Footprint
Objetivo: TOSA
Explorando nuestro objetivo
32. Dominios y DNS (A, MX), Activos, IPs Rangos
Vulnerabilidades
Sistemas
Footprint
Objetivo: TOSA
¿Como seguimos?
1. Quieres realizar búsqueda de credenciales
2. Investigar exposición en RRSS
3. Analizar la muestra de malware
Explorando nuestro objetivo
33. Objetivo
Investigación del hash, junto con las
posibles relaciones con otros IoCs
Donde investigamos
Tipo de investigación
Esta mañana un compañero del equipo de gestión de incidentes nos ha pedido ayuda sobre un hash de un proceso detectado en una
alerta de seguridad. A priori, el propio proceso aparenta ser inofensivo pero al compañero le ha extrañado el propio nombre del
proceso, ya que no ha identificado su aplicación asociada. Necesita que le ayudemos a analizar el hash de dicho proceso para
determinar si esta relacionada con alguna amenaza conocida.
El hash es 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
Identificar posible relación del hash
con algún tipo de amenaza
• IBM X-Force
• AlienVault OTX
• VirusTotal
• Hybrid Analysis
• Any RUN
Localizamos malware asociado
38. Qué tenemos
• Nombre de una persona, cuenta/username, identidad o cualquier dato de partida.
Qué buscamos
• Perfiles de redes sociales (Twitter, Instagram, Facebook, LinkedIn, etc) que utilicen el username objetivo.
• Comprobación de la existencia de correos electrónicos de cualquier proveedor que usen el username objetivo.
• Búsqueda de correos electrónicos asociados a los perfiles sociales detectados.
• Presencia de los correos electrónicos o del username en Data Leaks filtrados.
• Búsqueda de los usernames o los correos electrónicos asociados utilizando diferentes Dorks en los principales
metabuscadores.
• Búsqueda de evidencias asociadas al username en webs de históricos
Qué necesitamos
• Establecer las herramientas que podemos usar, tanto de pago como open source.
• Usar la metodología y ciclo de inteligencia para coleccionar y analizar los datos.
• Documentar nuestros hallazgos y generar información de valor relacional.
1
2
3
Como comenzamos a investigar una identidad digital
39. Procedimiento
de
investigación
Nombre Persona
Buscar en redes sociales
posibles perfiles
• Twitter
• Facebook
• Instagram
• LinkedIn
• Otras RRSS
Permutador de
Emails
Dorks
Leaks
• Google
• Bing
• Yandex
• DuckDuckGo
Verificación de
Emails
• Teléfono
• CV
• Documentos Ofimáticos
Como comenzamos a investigar una identidad digital
41. Qué tenemos
• Username.
Qué buscamos
• Perfiles de redes sociales (Twitter, Instagram, Facebook, LinkedIn, etc) que utilicen el username objetivo.
• Comprobación de la existencia de correos electrónicos de cualquier proveedor que usen el username objetivo.
• Búsqueda de correos electrónicos asociados a los perfiles sociales detectados.
• Presencia de los correos electrónicos o del username en Data Leaks filtrados.
• Búsqueda de los usernames o los correos electrónicos asociados utilizando diferentes Dorks en los principales
metabuscadores.
• Búsqueda de evidencias asociadas al username en webs de históricos
1
2
Explorando nuestro objetivo
42. USERNAME
Existencia del
username en RRSS
• Twitter
• Facebook
• Instagram
• LinkedIn
• Telegram
• Otras RRSS
Permutador de
Emails
Dorks
Leaks
• Google
• Bing
• Yandex
• DuckDuckGo
Históricos de archivos
Verificación de
Emails
Procedimiento
de
investigación
Procedimiento de obtención de información sobre username
43. USERNAME
Twitter
Facebook
Instagram
LinkedIn
Detectar username
en multiplataformas
sociales
Existencia del
username en RRSS
• SpiderfFoot HX
• Maltego
• OSRFramework (Usufy)
• Namechk
• Suip.biz/?act=Sherlock
• Intelx
• TinfoLeak
• Twint
• SocialBearing
• TweetDeck
• TweetBeaver
• All My Tweets
• Foller.me
• Followerwonk
• Searchusers
• Instagram OSINT
• Instaloader
Telegram
Búsqueda Manual del username en la
plataforma social de Facebook,
Instagram y/o LinkedIn
Verificación de
Emails
Solicitar recuperación de contraseña de
plataformas sociales en redes sociales
(Twitter, Facebook, Instagram)
Herramienta Online Script de Nivel de Dificultad Media Script de Nivel de Dificultad Alta
Procedimiento de obtención de información sobre username
44. Dominios y DNS (A, MX), Activos, IPs Rangos
Dominios > MX
Usernames
Social Media
Flag
¿Beneficio económico?
¿Exfiltración de información?
¿Análisis de exposición?
¿Daño reputacional?
Vulnerabilidades
Sistemas
Footprint
Reutilización de
credenciales
Accesos
Empleados y proveedores Foros y comunidades
Posibles credenciales
de leaks anteriores
? !
Objetivo: TOSA
Flag: Hemos llegado a la conclusión
60. https://github.com/twintproject/twint
/
Twint esta desarrollado en python3.6 y por lo tanto es necesario
disponer de dicho lenguaje de programación instalado y el pip3 para la
instalación de librerías necesarias en el mismo.
Puede instalarse tanto en sistemas Linux como Windows siempre que
tenga Python 3.6 instalado.
Comando de instalación
pip3 install --user --upgrade
git+https://github.com/twintproject/twint.git@origin/master#egg=twint
Monitorizar actividades en Twitter - Twint
61. Comprobar Stack de microservicios instalados
Comando: sudo docker-compose images
Comprobar contenedores en ejecución asociados a stacks
Comando: sudo docker-compose ps
Monitorizar actividades en Twitter - Twint
62. import twint
username = 'ivanpormor'
c = twint.Config()
c.Username = username
c.Hide_output = True
c.Limit = None
c.Store_csv = True
twint.run.Search(c)
import twint
Keyword = '#ransomware'
c = twint.Config()
c.Search = keyword
c.Hide_output = True
c.Limit = None
c.Store_csv = True
twint.run.Search(c)
Búsqueda por username Búsqueda por keyword
Automatización de TWINT mediante Python
63. import twint
keyword = '#ransomware'
c = twint.Config()
c.Search = keyword
c.Hide_output = True
c.Limit = None
c.Pandas = True
twint.run.Search(c)
tweets = twint.storage.panda.Tweets_df
for tweet in tweets.to_dict(orient='records'):
print(tweet)
Automatización de TWINT mediante Python
69. Añadir plugin de Twitter en la configuración de
logstash.
1
Añadir keywords, recuperar tweets
completos e ignorar retweets.
3
Añadir las APIs de Twitter.
2
Remplazar contenido de etiquetas dentro de
campo source.
4
Configurar un índice para almacenar todos
los resultados en Elasticsearch.
5
Obtención y tratamiento de datos de Twitter con streaming con ELK
72. Google nos permite crear buscadores personalizados, a través de su
servicio “Custom Search Engine”, utilizando las fuentes que
tengamos categorizadas como fiables y excluyendo así el resto. De
este modo, a través del motor de búsqueda de Google, podremos
crear un buscador totalmente adaptado a nuestras necesidades.
Esto significa que obtendremos información exclusivamente de las
fuentes que le indiquemos en la configuración. CSE esta limitado a
100 resultados únicamente, pero si añadimos búsquedas muy
específicas no será un problema.
https://cse.google.com/
Personalización de buscadores para monitorizar actividades - CSE
76. Seleccionamos el sitio y la etiqueta
relacionada
Sitios asignados a sus etiquetas restringidas
Personalización de buscadores para monitorizar actividades - CSE
78. Pasos de instalación activación de virtualenv e instalación de dependencias
• cd /home/osint/Escritorio/Herramientas/herramientas-personalizadas/automatizacion_cse
• source venv/bin/activate
• pip3 install -r requirements.txt
Automatización de CSE + ELK
79. Listado de la carpeta automatizacion_cse
Visualización del contenido de fichero de los inputs de monitorización: keyword.txt
Automatización de CSE + ELK
80. Ejecución de la herramienta. Conocer como ejecutar la herramienta
Comando para mostrar la ayuda de la herramienta:
• python3 main.py --help
Automatización de CSE + ELK
81. Ejecución de la herramienta utilizando el buscador sobre RRSS creado con CSE
Automatización de CSE + ELK
84. Monitorización sobre ataques Ransomware - DarkFeed
https://darkfeed.io/
DarkFeed es un servicio web que permite
monitorizar las diferentes publicaciones
sobre victimas relacionadas con ataques
Ransomware de cualquier grupo criminal.
Dispone de un inventario sobre los grupos
de ransomware que se encuentran activos
junto con sus URLs “oficiales”.
86. Monitorización sobre ataques Ransomware - Darktracer
Darktracer dispone de un
módulo gratuito de
monitorización de victimas de
ransomware, ofreciendo un
pequeño inventario sobre cada
ataque.