Tehdit istihbaratı, kötü amaçlı yazılım analizi gibi konularının son zamanlarda çok popüler nedense herkes bir şeyleri arıyor, bu yazıda sizlere alan adları hakkında olduğunca fazla bilgiyi bulma yaklaşımlarımı anlatmak istiyorum.
Unutmayın bulunmamışı bulmak gibi bir olayımız yok, gözden kaçan ve/veya yanlış yapılandırılmış sunuculardan alınan bilgiler ışığında ilerleyeceğiz, halka açık araçlar ve teknikleri kullanacağız.
Whois
Belki de elimizin altında bulunması gereken en temel araçlardan bir tanesidir, online aşağıdaki web siteleri aracılığı ile sorgulama yapabileceğiniz gibi,
Aynı zamanda Linux üzerindeki CLI aracı ile de kontrol sağlayabilirsiniz.
whois mertcangokgoz.com
Bu bilgiler alan adını kayıt eden kişiler hakkında bilgi sağlar, kimi zaman proxy arkasında olsa bile birtakım servisler tarafından geçmişe yönelik olarak tespit edilebilir.
Belirli bir kuruluşa bağlı olup olmadığı hakkında bilgiler edinebilirsiniz. Phishing tespit edilmesi noktasında önemlidir.
Pasif Analiz
Bu bize, alan adının geçmişte ne işler için kullanıldığını hangi firmada, kimin tarafından satın alındığını ve ne yapıldığı hakkında detaylı bilgiler sunar, bu noktada kullanılabilecek pek çok servis ve hizmet bulunmaktadır. Ancak başlı çaları şu şekildedir
- https://www.circl.lu/services/passive-dns/
- https://web.archive.org/
- https://www.virustotal.com/
- https://passivedns.mnemonic.no/
Bunun dışında Google Cache kullanarak eskiye dönük alan adlarının takibini yapma imkanınızda bulunmaktadır.
cache:https://mertcangokgoz.com
Trafik Analizi
Analiz edilen site eğer internet ortamında çokça kullanıldığı düşünülüyor ise SEO araçlarından faydalanılarak, sitenin trafik kaynakları kontrol edilir. Bunun için kullanılabilecek araçlar
- https://ahrefs.com/tr/
- https://www.semrush.com/
- https://analytics.moz.com/pro/link-explorer/home
- http://moonsearch.com/
Bu sayede bağlantı ilk olarak nerede ortaya çıktığı, ne gibi yerlerden trafik geldiği ve içeriklerin nasıl ortaya çıktığını basitçe öğrenebilirsiniz. Paralı olan araçlar için kıyıda köşede bir miktar para bulundurmanızı öneririm.
İçerik Analizi
Mevcut sunulan alan adındaki web sunucusunun içeriğinde ne olduğunu kontrol etmek isteyebilirsiniz. Siteye gitmeden kontrol etmek kimi durumlarda bize hız kazandırabiliyor (API kullanılırsa), VPN veya sanal bir makine aracılığı ile en azından biraz koruma alarak şüphenizle bir web sitesini ziyaret etmelisiniz.
Bu işi biraz taşere etmek isterseniz, HTTP isteğini sizin yerinize yapan ve yakın zamanda betadan çıkan https://urlscan.io/ kullanabilirsiniz.
Siteyi takip etmeniz gereken durumlar olabilir bu noktada size hayati bir servisi önereceğim, https://visualping.io/ bu servis aracılığı ile sitenin istediğiniz bir yerini izlemeye alabilirsiniz. Böylelikle içerik değiştiği anda bildirim alabilir neler olup bittiğine bakabilirsiniz.
Teknoloji Tespiti
Web sitesinin kullandığı bileşenleri tespit etmek kullanılan teknolojiyi öğrenmek hedefi tanımak için gerekli, bu amaç için kullanabileceğiniz birden fazla araç bulunmakta
Zafiyet barındıran bir uygulamanın tespiti yapılabilir, gerekli durumlarda aksiyon alınabilir.