External Recon Methodology

In dieser Phase geht es darum, sämtliche Informationen über die Vermögenswerte eines Unternehmens zu sammeln, die im Scope eines Penetrationstests liegen könnten. Ziel ist es, Akquisitionen, ASNs, Domains und andere Assets zu identifizieren, die potenziell als Angriffsfläche dienen.

---

1. Akquisitionen

Der erste Schritt ist, alle Unternehmen zu identifizieren, die vom Hauptunternehmen erworben wurden. Diese Unternehmen gehören ebenfalls in den Scope und können relevante Assets besitzen.

• Tools und Quellen:

  • Crunchbase: Suche nach dem Hauptunternehmen und klicke auf "Acquisitions".

  • Wikipedia: Nach einer Seite des Hauptunternehmens suchen und dort nach Akquisitionen recherchieren.

---

2. ASNs (Autonomous System Numbers)

ASNs sind eindeutig zugewiesene Nummern für autonome Systeme. Sie enthalten IP-Bereiche, die von einem Unternehmen verwaltet werden. Die Identifizierung dieser IP-Bereiche ist essenziell für weitere Analysen.

• Tools und Websites:

  • BGP Toolkit: Suche nach ASN, IPs oder Domänen.

  • ASNLookup: Liefert IP-Bereiche und ASN-Details.

  • Regionale Registrare:

    • AFRINIC (Afrika)

    • ARIN (Nordamerika)

    • APNIC (Asien)

    • LACNIC (Lateinamerika)

    • RIPE NCC (Europa)

• Automatisierung:

  bashCode kopieren$ amass intel -org <Unternehmen>
  $ amass intel -asn <ASN-Nummern>
  $ bbot -t <Zieldomain> -f subdomain-enum

---

3. Domains und Subdomains

Domains und Subdomains bieten weitere Einstiegspunkte. Die Identifikation aller Domains innerhalb des Scopes ist daher essenziell.

Reverse DNS

Performing Reverse-DNS-Lookups auf den IP-Bereichen:

bashCode kopieren$ dnsrecon -r <IP-Bereich> -n <DNS-Server>
$ dnsrecon -d <Domain> -r <IP-Bereich> -n 1.1.1.1

Reverse Whois

Um verwandte Domains oder Organisationen zu identifizieren:

• Online-Tools:

  • ViewDNS

  • WhoXY

  • DomainTools (kostenpflichtig)

• Automatisierung:

  bashCode kopieren$ amass intel -d <Domain> -whois

Tracker-Analyse

• Tools zur Suche nach Tracker-IDs (z.B. Google Analytics, Adsense):

  • Udon

  • BuiltWith

  • PublicWWW

Favicon-Hashing

Analyse von Favicon-Hashes, um verwandte Domains zu finden:

pythonCode kopierenimport mmh3
import requests
import codecs

def fav_hash(url):
    response = requests.get(url)
    favicon = codecs.encode(response.content, "base64")
    fhash = mmh3.hash(favicon)
    print(f"{url} : {fhash}")
    return fhash

TLS-Zertifikate

Über TLS-Zertifikate können zusätzliche Domains entdeckt werden:

• Beispiel mit Shodan:

  bashCode kopieren$ shodan search ssl.cert.subject.CN:"Tesla Motors" --fields ip_str,port

---

4. Scannen und Angriffsoberfläche analysieren

Nach der Identifikation aller Assets können spezifische Sicherheitsüberprüfungen durchgeführt werden:

Port- und Schwachstellenscans

• Nessus/OpenVAS: Vollständiger Schwachstellenscan.

• Brute-Force mit Brutespray: Angriffe auf schwache Authentifizierungsmechanismen.

  bashCode kopieren$ brutespray -f nmap_scan_results.xml -u users.txt -p passwords.txt

Technologien analysieren

Tools wie WhatWeb oder Wappalyzer können verwendet werden, um eingesetzte Technologien zu identifizieren.

---

5. Ergänzende Tools

• Amass: Automatisierte Discovery von Subdomains und ASNs.

• BBOT: Umfangreiche Recon-Tool-Suite.

• Assetfinder: Speziell für die Suche nach verwandten Domains.

• Shodan: Für die Identifikation von Geräten und offenen Ports basierend auf Organisationen oder IP-Bereichen.