작전보안
공개 출처 정보 (OSINT: Open-Source Intelligence)는 이미 공개된 출처에서 수집한 정보를 일컫는다. OSINT 자체의 뜻과는 관계없이 레드팀 작전 시 OSINT라고 한다면 공개 출처 정보 수집의 의미를 갖는다. 간단하게 생각하면 타겟의 기술적, 인적 자원과 직접적인 소통 없이 타겟에 관련된 정보를 수집하는 단계를 일컫는다.
이 플레이북에서는 레드팀 작전시 OSINT 단계에서는 어떤 방법론을 갖고 어떤 정보들을 수집하는지에 대해서 알아본다. 대부분 레드팀 작전은 민간 기업들을 대상으로 이뤄지기 때문에 정부/정보기관 및 개인을 타겟으로 하는 OSINT에 대해서는 다루지 않는다.
레드팀의 OSINT 단계에서는 다음과 같은 정보들을 수집한다.
타겟의 배경 지식 (역사, 관련 업계, M&A, 플래그쉽 제품/서비스, 최근 호재/악재)
네트워킹
ASN (Autonomous System Number)
IP Net Blocks
도메인과 서브도메인
도메인과 연결되어 있는 호스트들의 IP 주소
도메인 CNAMEs
인적 자원
이메일 주소 형식
조직도
직원 이메일 주소
C-Suite 임원들의 이름, 직무, 전화번호, 이메일 주소
LinkedIn 등의 SNS
업무/직무 관련된 자료
기술적 자산
외부 접근 가능한 호스트 - IP주소, FQDN
외부 접근 가능한 포트 + 배너
클라우드 기반 외부 접근 가능한 호스트/포트 + 배너
SaaS 관련 자료
다크 웹
과거 해킹 사고 이력
과거 덤프 - 계정 정보, 직원 정보
기타 자원
구글 도킹 가능한 파일 및 문서
오픈소스 코드 - Github, Gitlab, BitBucket, 등
웨이백 머신 및 아카이브
OSINT에서 수집한 정보들은 모두 초기 침투에 사용될 수 있기 때문에 꼼꼼하게 수집해야한다.
Last updated