Merhaba sevgili arkdaşlar.
Bugünkü konumuz python da geliştirdiğimiz araç hakkında kısa bilgiler verip OSİNT tarafında URLanalizi nasıl yapılıyor basit biçimde anlatmaya çalışacağım.
Bu araç kısaca bir URL’nin arkasında ne olduğunu açığa çıkaran bir analiz aracıdır. Kısaltılmış linki giriyoruz, o linkin nereyele irtibat krudğunu çözüyor, arada yönlendirme varsa tespit ediiyoruz , gerçek hedef domaini buluyor. Sonra o domainin DNS kayıtlarını inceliyor, hangi IP’ye gidiyor, hangi ülkeye bağlı, hangi hosting kullanılıyor hepsini ortaya koyuyor. Ardından SSL sertifikasını kontrol ediyor, sahte mi, gerçekmi mi, ne zamana kadar aktif kısaca parçalayarak analiz ediyor. Linkin arkasındaki altyapıyı, veri akışını, güvenlik durumunu, kullanılan teknolojileri ve olası riskleri tek seferde ortaya koyuyor. OSINT, phishing analizi, şüpheli link inceleme, altyapı keşfi ve güvenlik değerlendirmesi sonrasında site hangi teknolojiyi kullanıyor tespit ediyor; Cloudflare mi, nginx mi, Apache mi, CDN vb gibi..
Sayfanın dışarıya bağlandığı domainleri analiz ediyor, Google Analytics, Facebook Pixel, tracker gibi izleme sistemleri varsa yakalıyor. Ayrıca domainin yaşını kontrol ediyor, yeni açılmış şüpheli bir domain mi yoksa yıllardır aktif güvenilir bir site mi? sorularına cevap veriyor.
GİTHUB:
Hepimiz kısaltılmış URL leri biliriz. (Pishing saldırısına değinmeyeceğim forumda onlarca konu mevcut) Örnek: Siber güvenlik tehditleri için 'The World Vegetable Center | Working on Food Diversity Since 1971' bağlantısının testi ne olduğu belirsiz bir link trojan bağlantısı pihising saldırısı belkide zamanımızı ve paramızı çalacak olan kişinin bize yutturmaya çalıştırdığı bağlantı. Hemen aracımızı açıyoruz. ve urlyi giriyoruz.
işlem 30 sn civarı sürecektir.
Çıktıları inceleyip analizi yapalım.
Görüldüğü üzere;
+ Kısaltılmış URl çözüldü
++DNS kayıtlarında bir adet ip adres tespit etti
devamına bakacak olursak;
Domain yaşı bizim için önemli Pishing saldırılarında link analziinde dikakt etmemiz gereken hususlardan biride domain'in yaşı. Yani hizmete başlama tarihi. bu oldukça eski 29 yıllık bir domain.
+ip adresi hizemt adlığı kurum ve ülke gibi bilgileride elde etmiş olduk.
Olası sertifikaların başlangıç ve bitiş tarhileri. Header analizi kurum bilgisi domain yaşı gibi bilgileri inceleyip site yapısına baktığımzda URL nin sosyal medya plartformaları üzerinde reklam amacıyla kısaltılıp paylaşıldığını düşünüyoruz.
-HARİCİ DOMAİNLER-
+ görüldüğü üzere site 18 tane harici servisle iletişim kuruyor
Site şu domainlere bağlanıyor:
sosyal medya --> facebook, instagram, twitter, linkedin
analytics / script -->googleapis, googletagmanager
video --> vimeo
CDN / altyapı --> cloudflare
kurum siteleri --> worldbank, imf, oecd vb.
Son tablomuzuda inceleyip konuyu bitiriyorum.
Analiz ettiğin site ziyaretçileri izlemek için Google Analytics + Google Tag Manager kullanıyor.
Eşleşen kaynakalr kısmındaki "gtag('config', 'UA-111788997-1')" kodu bzie açıkca gösteriyorki site tüm verilerimizi tıklama ziyaretçi sayısı ülke cihaz gibi bilgileri google'a gödneriyor. Kısaca site açıldığında google Analytic üzerinden kullanıcı davranışı takip ediliyor.
Anltacakalrım bukadar sağlıcakla kalın.
Küçük bir hatırlatma merak eden olursa USOM un zararlı bağlantılar kısmında günlük olarak ihbar edilen URL"ler mevcut. İnceleyip bilgi sahibi olabilir ve sizde ihbarda bulunabilirsiniz.
USOM
attığınız blog sayfasındaki metin şifreli ilgili tolları kullanarak içeriğine erişebilirsiniz.
tatlıs bi tool
