Tools: Intelligence Automation mit Spiderfoot

Laufend auf der Suche nach neuen Tools stieß ich auf Spiderfoot. Mein Ziel war es etwas leicht bedienbares zu finden, was ohne API Einrichtungen und dergleichen funktioniert. Schließlich ist jeder gute Angriff, durch eine gründliche Informationsbeschaffung im Vorfeld, gesichert. Und so fand ich Spiderfoot. Na gut ich gebe zu ein paar Dienste kommen ohne API Keys nicht aus. Darunter:

Download

Spiderfoot lässt sich am besten direkt beim Hersteller herunterladen. Es gibt noch eine kostenpflichtige Variante (Spider HX), die ich allerdings nicht getestet habe. Stattdessen nahm ich mir die Zeit für die kostenfreie Variante.

Wer das ganze selbst unter Linux kompilieren will, kann das auch, denn Spiderfoot ist OpenSource und bei Github erhältlich.

Wie startet man Spiderfoot?

Die Software lässt sich über die sf.exe Datei im entpackten Ordner starten (unter Windows zumindest). Dies ist für den Test hier ausreichend, da es sehr schnell geht. Nach dem Start öffnet sich ein Konsolen-Fenster in Windows.

Spiderfoot Konsole beim Start

Spiderfoot sagt dir sofort was als nächstes zu tun ist. Öffne also den Browser und gehe zu:

  • http://127.0.0.1:5001

Auf der Hauptseite klickst du nun auf New Scan. Hier gibt es jetzt mehrere Profile. Entweder möchtest du alles wissen, was Spiderfoot erarbeiten kann, oder du wählst ein kleineres Profil. Dadurch beschleunigt sich der Scan enorm, da der volle Scan zum Teil mehrere Stunden braucht.

Spiderfoot Settings

Während des Scans kannst du live mitverfolgen, was im Hintergrund geschieht. Die vielen Informationen, die dort sichtbar sind beziehen sich auf die vielen Anfragen, die gestellt werden, um Informationen zu erhalten. Diese Information ist in der Konsole sichtbar:

Spiderfoot Konsolenoutput

Was kann Spiderfoot?

Nachdem der Start von Spiderfoot geglückt ist und der erste Scan läuft können live, während des Scans, die ersten Ergebnisse eingesehen werden. Ein übersichtliches Dashboard liefert die Kategorien und die darin befindlichen Ergebnisse der Scans. In diesem Beispiel habe ich meine Webseite scannen lassen, also andresilaghi.com.

Spiderfoot Dashboard Scan

Die Ergebnisse sind mit Vorsicht zu genießen. Auch wenn beispielsweise der Balken in der Kategorie Hacked User Account on External Site doch einige Einträge zu vermerken hat, so konnte ich in diesem Fall nicht viel mit den Informationen anfangen. Es werden einige Seiten gelistet wie:

  • Bitbucket
  • Deviantart
  • ImageShak
  • Steam
  • etc.

Spiderfoot hat wohl den User “kontakt” überall eingesetzt und geprüft, ob der passende Link dazu etwas ausgibt. Tatsächlich liefert Spiderfoot für folgende Links:

  • https://bitbucket.org/api/2.0/users/kontakt
  • http://kontakt.deviantart.com/
  • https://imageshack.com/user/kontakt
  • http://steamcommunity.com/id/kontakt

Backlinks und IP Adressen

Was aber wieder interessanter zu sein scheint sind die beiden Kategorien Affiliate – IP Address  und Affiliate – Internet Name. Innerhalb der zuerst genannten Gruppierung finden sich jede Menge IP Adressen, unter denen die Seite andresilaghi.com bereits erreichbar war. Das kann für einen Angriff durchaus von Interesse sein.

Hingegen liefert die zweite genannte Kategorie jede Menge Backlinks zur eigenen Seite. Hier wird es dann im SEO Umfeld interessant, wenn es darum geht, dass man herausfindet wo man überall verlinkt ist. Umgedreht verhält sich die Kategorie Linked – External, die alle ausgehenden Links auf jeder Seite zeigt.

E-Mail Adressen

In der Kategorie Email Address liefert mir Spiderfoot jede Menge von mir genutzter E-Mail-Adressen auf dem Blog. Nun unterm Strich sind dabei eigentlich nur zwei von Relevanz und diese werden mehrfach aufgezeigt:

  • andre@andresilaghi.com
  • kontakt@andresilaghi.com

Aber was kann ich damit anfangen? Um ein Ziel gut auszuspähen würde sich Spiderfoot an der Stelle gut eignen. Alle gelisteten Mailadressen einer Firmenseite lassen sich damit aufzeichnen. Eine geschickte Social Engineering E-Mail wird nun an ganz viele offizielle Adressen geschickt und irgendwer wird das Makro im Excel File schon starten. Schon ist der Angreifer im internen Netzwerk, trotz Firewall, Proxy & Co.

Spiderfoot Kategorien im Scan

Visuelle Unterstützung

Balkendiagramme und Tabellen sind zwar schön strukturiert, aber so denken nur die wenigsten Menschen. Aus diesem Grund gibt es Grafiken, an denen wir uns orientieren können. Diese Grafiken kann Spiderfoot selbst erstellen. Es erinnert an ein Netzwerk mit unterschiedlichen Knotenpunkten und dort anhängenden Knoten. Wenn es um verknüpfte Domains geht zu andresilaghi.com beispielsweise, werden dann alle im Kreis, rundum meine Hauptdomain angezeigt.

Und so entstehen die vielen Verbindungen, wie hier zu sehen.

Spiderfoot Graph Darstellung

Erweiterte Konfiguration

Eingangs hatte ich kurz über API Keys gesprochen. Es gibt ein paar die natürlich gebraucht werden. Diese Diente stehen ganz oben im Blog. Du bekommst aber Fehlermeldungen, wenn die APIs nicht eingerichtet sind und du aber einen kompletten Scan durchführen lässt. Einfach dazu im Dashboard herunterscrollen und schon sieht man was nicht funktioniert hat.

Spiderfoot Fehler bei API Key

Das Problem ist durch einen Klick auf Settings fast behoben. Dort lassen sich in den jeweiligen Unterpunkten (Shodan, Honeypot und Virustotal) die API Keys eintragen. Wie genau ein API Key aus einem Dienst gezogen wird klärt leider jeder Dienst für sich. Das müsst ihr euch dann entsprechend genau anschauen.

  • Virustotal – https://ithemes.com/security/how-to-malware-scan-api-key-with-virustotal (kostenpflichtig)
  • Shodan – https://developer.shodan.io/pricing (kostenpflichtig)

Fazit

Spiderfoot liefert in der kostenfreien Variante ein solides Tool zur Erforschung von Domains und IP Adressen. Erweitert man das ganze mit einer kostenpflichtigen ShodanHQ Anbindung werden die gewonnen Daten wesentlich wertvoller. Aber auch ohne kostenpflichtige Dienste lassen sich sehr viele Informationen ernten. Ich möchte betonen, dass die Darstellung von Spiderfoot nicht als Anleitung zum Aufbrechen von IT Systemen dient. Der Sinn dahinter ist seine eigenen Systeme zu überprüfen und heraus zu finden, was ein Angreifer alles in Erfahrung bringen kann. Wer trotz all dem Spiderfoot nutzen möchte, um Schaden anzurichten, oder Daten zu stehlen macht sich strafbar.

Bücher zum Thema

 

Beitragsbild von Christiaan Colen – Lizemz CC-BY-SA 2.0 – verwendetes Bild ist eine Modifikation des Originals

Artikel teilen:

Kommentar verfassen