https://redsiege.com/haystack

*UPDATE This Event has passed and can be viewed below with the transcript!”

Red Siege is proud to present its very first SiegeCast!  We have been taking part in so many fantastic webcasts and have been looking forward to providing one of our own! The team decided to make our topic something beneficial for both the offense and defense to start.

On May 14th at 3pm EDT we will be presenting ” HUGE NEEDLES, SMALL HAYSTACK “

Founder Tim Medin, along side Principal Consultant Mike Saunders, and Senior Penetration Tester Corey Overstreet are going to tackle the question : Ever wonder how attackers gather information on a target organization?

Knowing where to look can uncover a wealth of information leading to a successful phish or first foothold. In this talk, the team will cover different intelligence gathering techniques targeting an organization’s external services and staff all while leaving little to no trace of our actions.

We encourage you to sign up for this webcast, as well as become part of the Red Siege community discord – https://redsiege.com/discord

There, we will be taking our questions and interacting with the community, as well as posting links the coincide with the conversation.

We look forward to seeing you there!

Tim Medin

Tim is the Founder and Principal Consultant at Red Siege. Tim is also a Principal SANS Instructor, the SANS MSISE Program Director and a SANS course author. Tim is the creator of the Kerberoasting, a technique to extract kerberos tickets in order to offline attack the password of enterprise service accounts. Tim hoLds GWAPT, GPEN, GMOB, GCED, and GCIH certifications and he previously held the CCNA certification

Mike Saunders

Mike is a Principal Consultant at Red Siege. Mike has over 25 years of experience in IT and security and has worked in the ISP, financial, insurance, and agribusiness industries. He currently holds the GCIH, GPEN, GWAPT, GMOB, CISSP, and OSCP certifications

Corey Overstreet

Corey is the Senior Penetration Tester at Red Siege. Corey is a credentialed OSCE ,OSCP and OSEE and has participated as a member of the SECCDC. He has a enxtensive career as an experienced pentetration tester, red team operatior and has been engaged with Fortune 500 organizations across a variety of industries, including financial services, government services, and healthcare.

WATCH SIEGECAST

TRANSCRIPT

Tim Medin (00:08): 

… Quick you want to pull the slides upI’ll give you the quick introBecause one of the rules I’ve always heard is never introduce yourself if somebody else will do it for youSo we actually have the whole team hereWe’ve got CoreyMike and myself. 

I’ll start doing reverse orders to set Corey upMy name is Tim Medin I am one of the folks here at Red SiegeI’ve been pen testing for a long timeTeach [inaudible 00:00:35] a bunch of stuff like thatUp there are northern representativethe pretty faceWe got Mike SaundersMike’s been pen testing for quite a long timeAnd then we also of coursewe’ve got Corey hereSo Corey’s been pen testing for a number of yearsHe’s been with us for… Actually his anniversary is yesterdayCongratulationseverybodyit’s Coreyhopefully he’ll make it to year threewe’ll see 

Congratulations to Corey for thatBut Corey came to ushe worked for another pen test firm actually a couple of different ones over the yearsvery skilledHe’s going to walk us through some of the basics of reconnaissance heresome reconnaissance 101It’s always important you’re doing a pen testget some of that basic information about your targetsdefine that to we got user accounts and Corey is going to rip through that. 

We were talking about this beforehandA quick little story about Corey hereSo Corey was sort of prepping these blog postsThere’s actually some blog postswe’ll post the links once again in discord redsiege.com/discordBut he was doing some reconnaissance on a company that was essentially defunct and we’re trying to post information about a company but not leak too much informationSo everybody knows. 

And trying to demonstrate OSINT without leaking too much and actually having it be useful at the same time is an interesting scenarioSo it was a definitely some good times thereSo with thatI’m going to turn it over to Corey so get ready for Corey again if you’ve got questions redsiege.com/discordwe will pop in and feed those [inaudible 00:02:19] Corey 

Corey Overstreet (02:22): 

So we’ll jump right inSo for the overview herethere’s really two different kinds of reconthere’s passive recon and there’s active reconPassive recon is where the target has little to no idea that you’re collecting any information on themOpen source intelligence or OSINT would definitely fall in this categoryWhen we get down to the automated OSINTdepending on how they find subdomains or how they interact with the DNS servers for the targetthat can start moving into active reconbut it’s still usually pretty quietAnd then active recon would be actively interacting with the services for your targetSo that would be things that would show up on logs if someone’s watching. 

So we’ll start with open source intelligence on infrastructureThis would be looking for sub domainslooking for information about the services that are available on the internetUsuallywhere we start would be WikipediaA lot of times the company that has a profile page on Wikipediayou can find their domain nameyou can find information about their mergers and acquisitionsAnd why that’s important would be you could actually see previous companies where there might be legacy infrastructure still laying aroundInfrastructure that would have been for the previous companies before they were merged into your current targetAnd then there again like I said domain namesa lot of times you can infer domain names just from the names of the companies if they’re not immediately obvious in the Wikipedia article. 

So usually that’s pretty high levelbut it does give you a lot of informationHoweverour next stop is usually DNSdumpsterThis site just about everything that they offerwill give you some bit of information to help with the next steps of the engagementSo usually the MX records will show spam or malware filtersThis will give you an idea of what kind of trouble you’re going to have during phishingAlsowhat kind of payloads will typically get by if you do have to attach directly to the email and then after that we look at the ASNsThese are typically the IP address net blocks that would be associated with the companyAnd it’s usually a dead giveaway if their name is in the ASN that they own everything in that IP range. 

So even if you don’t find subdomains that are attached to every IP address in that net blockyou can find other infrastructure that may not have domain name and still be fairly confident that it belongs to that companyAnd then the A records show you the IP addresses and subdomainsThere againyou can take the IP addresses and start kind of looking at the neighbors in that IP net block and figuring out other infrastructure that they may have that may not be immediately obvious. 

So once we’ve gone through therewe go to the Hurricane Electric BGP tool kitThis is a website that has tons of information about the net blocks that you find from the ASNsOnce you find these net blocksyou can go through each IP address and look at and confirm that the IP address is still the same through their service that you saw with DNSdumpsterBut it’ll also show DNS history for IP addresses 

So if the company rebrandedif they changed IP addresses for their main site to another IP addressthis is often an easy way to start detailing the history of the DNS so that you might find additional domains or domain names that belong to this companyI was on a red team a few months back and we were able to find their domain easily enough through WikipediaWe started profiling employee names we found built up a huge list and realized that they were doing all their email through Office 365So we started going through and spraying to see if the email addresses were valid and if we had the right formatbut every single one of them were coming back as invalid 

So we started digging through DNSdumpster and the hurricane electric sitesAnd we stumbled across a domain name that they hadhad before they had rebrandedAnd when we went back and fed that same list back to Office 365 with the domain before they had rebranded all of a sudden every single one of them we had were validAnd that was an easy way to kind of enumerate what their email domain was at that point. 

All rightSo usually after we’ve done a recon through those siteswe move over to ShodanUsually Shodan has fairly up to date port scans information about the hostSo usually you can find all ofI guess the traffic that was recorded when they interacted with the serviceSo if it was an FTP service a lot of times you’ll see the interaction or the response that was returned by the serverWith web servers within any service that they put out thereShodan usually catches themThey also have SSL certificate informationSo a lot of times if their SSL certs are getting ready to expirethat might help with a phishing campaign if you want to stand up something close to itbut with an invalid certyou can also find additional domain names using that. 

And then finallyit usually gives a pretty accurate geolocation of the IP addressSo say you’re going through a net blockyou find a few hosts that are associated or in their net blockBut you start looking and realize that most of this infrastructure is nowhere near where the company is based out ofit kind of gives you an idea of is this owned by the ISP, or is it owned by the actual company 

Alsoyou can start determining what kind of stuff they’re keeping on prem and what kind of stuff they’ve moved to the cloud or to some third party serviceAnd then next weekwe start going and digging into the SSL certsCensys.io and crt.sh are great sites for researching what kind of SSL certs they haveA lot of times too with both sitesyou can actually find certificates for sites that they may have decommissioned or move to a different placeSo it can kind of give you an idea of when the last time that infrastructure was recorded as being online. 

There againyou can start enumerating additional subdomains for that companyAnd you can also find expired SSL certificatesNowit’s not always common to find expired SSL certsBut if it is a service that the company uses pretty heavilyand it’s got an expired SSL certyou could actually use that as part of your social engineeringwhere if a user has to continually except that the SSL cert is expiredwhen you stand up something that’s also like a self signed cert or something like thatthe user would probably click on through and accept that as being a valid host in your phishing campaign. 

Another great site is SpyOnWebThere againthis is a DNS historybut you can do it by IP address or by domain nameSo there againwe had a red team where they had rebrandedbut they had also acquired something like 35 or 36 companies in the last 10 yearsSo while we were going throughwe started finding all these additional companies that they had acquiredand we were finding the domain names through thatSo when we started researching the companywe started finding that all of these domains once we landed inside their networkand we started working through we started actually finding the windows active directory domains that were tied to these domains that we found externallyAnd we were actually able to move into areas where our points of contact they had never accessed any of that infrastructure 

And we were able to move around through areas of their network where they actually had no visibilityour points of contactbecause it was being handled by another group that once they had acquired themthey were trying to keep those functions separateSo they were not getting any kind of feedback on the actions we were doing in that area of the networkand it was allowing us to keep a foothold in the networkSo if we got kicked out anywhere elsewe actually still had a way back in. 

So I created SpyOnWeb in this because we were actually able to find almost 12 active directory domains that our points of contact had never interacted with and then nextwe use archive.orgOtherwise known as the Wayback MachineThey usually have pretty accurate moment in time copies of the siteAnd you can use tools to download a full version of that siteAnd then you can parse through it offline so that you’re not actually interacting with the client or the target siteBut you are able to go through their website as if you were anyone else on the internetAnd alsoanother way we use this is once we’ve downloaded the sitewe can stand it up on our phishing domainand get categorized that way and oftentimes get categorized the same way that the target sites areAnd we can use that as our platform to launch payloads or just for our phishing landing pages. 

And then finallywe look through job listingsGoogleGlassdoorIndeedMonsterZip RecruiterEmployers love to list all the technologies that they usebecause they want qualified candidates that are trained on the stuff that they’re going to be usingBut oftentimes tooas an attackerwe can look through that same list and glean a huge amount of informationlike the antivirusthe EDRmalware and spam filterswhat kind of environment it isif it’s WindowsMacLinuxAnd we can also figure out what kind of… A lot of times you can figure out what kind of infrastructure they use internallywhat kind of programming languages they useif they’re building like internal appsthat kind of thingSo you can get a huge amount of information just from the job listings that they postAll rightso before we move on to employeesTimMikedid you guys have anything to add to that? 

Mike Saunders (14:56): 

No you’re crushing it. 

Corey Overstreet (15:01): 

All rightso next we would move on to looking for open source intelligence on employeesWe’re looking for nameswe’re looking for email addressesanything we can figure out that would aid us in social engineering effortsAnd usually there againour first stop will be Wikipediawe’d want to know who the sea levels arethe board membersa lot of times in a red teama lot of times these guys are off limitsbut if they’re notthey usually have a lot of power inside the network as wellSo or using their names as a pretext against someone else usually gets actions pretty quicklyHoweverthat’s usually pretty risky as wellbecause people are going to be watching for emails impersonating thembut it is good information to have. 

Another great thing you can get from Wikipedia would be recent awards and recognitionThis would be things like we’re celebrating our 50th anniversary as a companyWe just got voted number one in customer servicethings like thatThese things are awesome for phishing pretextYou can use that to a lot of times we’ll use something similar to that where likeheywe pretend we’re a third party company saying, “Heywe’re working with you guys as organizationwe’re throwing a banquet to celebrate your recent awardHereopen this invitation sign up and we’ll make sure that you and your family are RSVP’d.” You can get a ton of phishing pretext just from looking through a company’s Wikipedia or googling for what kind of awards and recognition they’ve recently receivedAnd then you can also look at the company history. 

So if the company history is indicating that they’re growing at an exponential rate there againthat’s another pretext you can use as a congratulationsAnd you know we’ve had a lot of success using those kind of pretext to get our initial foothold into a companyAnd then our next stop is usually hunter.ioNow this site performs a lot of OSINT on their ownthey collect email addressesemployee namessometimes they get the title and phone number with them as well. 

But one of the biggest things too is at the very top of the listit gives you an email address format for the companywhich helps a lot when you’re searching for email addressesExcuse mewhen you’re searching for email addresses onlineand if you’re trying to brute force themyou can often take lists of the most common first and last names and generate email addresses that waySo hunter.io is awesomeIt’s a free serviceIt gets rate limited a little bit if you use it too muchbut for the most partI’ve never really ran into that 

And then next is LinkedInIt’s just a huge wealth of informationIt used to beyou could go to data.com and go to their connect serviceAnd you could just get massive lists of every employee currently at a companyBut they recently shuttered that serviceI say recentlyit’s been like a year or twoSo nowadaysLinkedIn is usually the best source for this kind of information. 

UnfortunatelyLinkedIn is… They’ve figured out that people are using it for that and they’re profiling for cold call lists and stuffSo they’ve made it a little more difficult to just go on theresearch for the company name and start pulling lists of employeesHoweverthere are tools that can start pulling that informationThe first would be LinkedInThis tool by BySecit scans through LinkedInBasically you give it the company name and it figures out the organization based off that and starts pulling any profiles it can find. 

More and more recentlythe results have been fewer and fewerBut you can still get usually a pretty decent amount of names and it pulls the namethe job title and the email address associated with that organizationNow there’s another tool Peasant by Justin Angel of Black HillsThis has similar functionality to LinkedIn where it can searchBut another great feature is it can also blanket a target organization with connection requestsSo say you stand up aI guess like a fake recruiter accountYou can use that and start blanketing at an organizationand once you have enough connections with that organizationthe rest of the list starts opening upAnd then you can use Peasant to go right back in and download a list of all the employees email addressthat kind of thing 

Now that feature is not purely OSINT at that point, because you are actively interacting with the target organizationButI meanwe all get hundreds of these just throw away recruiter solicitations every week soI would say you’re fairly safe as long as you build the LinkedIn account correctlybut another way is to use the GathercontactsBurp addonI think Kerry Roberts made that. 

So basicallywhat you would do is you would set Burp upand you would configure the addon and then you would go on Google or Bingand you would search in LinkedIn for your target domainAnd then it will automatically parse out the people’s nametheir email addressand a lot of times their title and any other information that came up on the cached results on Google or BingSo that’s a great way to gather them as well without actually interacting with their LinkedIn. 

And then nextwe usually go to the public breach dataYou can go through Have I Been PwnedDehashedPastebinand there’s Torrentsyou can get torrents of public breach data out there like the LinkedIn dumpsthe MySpace dumpsor more recentlythe collections one through fiveWe’re not saying you need to download all this informationbut it is out there if you want to grab it and typically you can get email addresses and passwords out of thereNow the passwords usually as soon as a company is notified that there’s been a breach or that their addresses were in that breachthey usually force their users to start changing passwords 

Howeveryou can also start noticing trends in the passwords if the users are using some kind of password that seems like it’s related to the company that you’re targetingSometimes you can find patterns that wayBut you never know you might get lucky and actually find a user that’s still using that same password from six years agoIt happens more than you would think. 

All rightso that brings us to the end of thatWe’ll move on to automated OSINTSo with automated OSINTthese are tools that pretty much you just feed at the domainyou might feed it a few configurations such as maybe a few starting employee names or a few LinkedIn profilesand you pretty much just click go and let it do its thing. 

TheHarvester is usually a great toolIt searches through probably 15, 16 sourcesAnd it does OSINT on infrastructure and employeesYou can enhance the results that you get by adding I think it’s like six or seven API keysAnd I think only one of them’s paidthe Shodan keybut it’s pretty much set and forget OSINTyou pretty much point it at the domainlet it do its thing and let it spit out the resultsBut what I have noticed with theHarvester is that it will often get blocked by Googlebecause you’re making too many requests to Google in too short of a time and their automated crawler detection will start kicking out your IP address. 

So there’s ways around that by using tools that will route your request through multiple sourcesBut for the most partyou’ll get most of the results that you would have gotten regardlessSo next is AmassIt’s highly configurableBut a word of warning is Amass doesn’t provide the configuration file by defaultunless you clone it from GitHubBut I would highly recommend that you do because once you doyou can configure everything from which DNS servers they queryI think there’s something like 50 different services that you can turn on or off depending on which ones you want to queryAnd I think it takes 16 API keysI was able to get just about all of them relatively easilyit took a couple hours to sign up for all the servicesand only a couple of them were paid. 

But the only problem with the Amass is it only looks at infrastructureSo like subdomainsASNsCIDR rangesit’s mainly looking at what kind of infrastructure you have externally not for employee names or email addressesBut it can also do passive or active reconSo you can do passive where it looks at public sources for subdomain namesthat kind of thingBut you can also do subdomain brute forcing with AmassSo you can basically just feed it a list of common subdomains and see if it finds anything that wayBut it usually returns quite a few results. 

And then finallythe recon-ng frameworkIt’s a modular OSINT framework made by Tim TomesAnd what’s great about it too is it has a marketplaceSo you can actually pick which modules you want to include in your installSo you don’t have to use every module that’s ever been madeIf you want it to be more singular in its focusyou just grab one or two modules and set it up to run towards thatYou can also create your own modulesSo if you don’t find what you need to get what you need donejust make your own. 

I believe it’s all written in PythonSo you can just make whatever module you needAnd you can share it back with the community so other people can use itAnd it also uses formatted reportsSo at the very endyou can decide what kind of report you want it to return and give you all the information or you can search for the results using commands similar to the Metasploit Framework. 

And another thing I forgot on here was the fact that you can script much like Metasploityou can script the reconngSothat it runs all the commands in the order you want them to run inAnd basically at that pointonce you have the script hammered outyou can use it much like theHarvesterwhere you just pretty much point it at a domain and let it goSothat’s another awesome feature. 

All rightSo once we’ve pretty much built a huge profile of whatever target we’re going afterwe can start kind of ramping up to some light interactions with the targetWe still try not to just beat him over the head because we don’t want… A lot of times we’re not trying to tip them off that we’re actually looking at anything on their networkSo the next few techniques will be fairly light interactions with the targetSo first up is EyeWitness tool by Chris Truncer over at FortyNorth Security. 

It records interactions with web services VNC and RDP. So you can feed it a list of domain namesIP addressesand you can actually pick which ports you want it to check for if those weren’t immediately obvious from scans or other information you’ve gathered before thenbut it’ll take a screenshot of the serviceAnd it will record any kind of headers or interactions with that service so that you can review those laterBut you can also feed it an XML formatted in meta outputso that if you did run in map scansyou can just feed the XML output to thatand use that as your list of hosts to enumerate 

And then there againit also provides a formatted reportSo this would be something akin to itit tells you what kind of 200 responses you got404s403 forbiddenthat kind of thingSo that way also not just what kind of service you tried to reachbut what you’re going to see if you try to reach it as well. 

And then another technique we use is looking at file metadataSo this can often contain usernamesemail addressesoperating systems and software suitesSo in the metadatalet’s say that the file was saved on a Windows computerthe file path would show us C colon users slash and then you’ve got a username thereAnd using that informationyou can actually go ahead and start building username lists for once you land on the networkyou have lists of users who you can convert the email addresses into usernames for further attacks once you get inexcuse mebut you can also getwhat kind of operating systems they use, you can figure out if their WindowsMac or Linux environment. 

And the software suites used to create itSo if you’re using Microsoft Officeif you’re seeing Windows file paths in the metadatayou’ve got a pretty good idea of what kind of systems you’re going to land on once you get inNowthe only problem with this is you have to download the hosted files to get that metadataSo you can do it one of two waysyou can do it automated or manualBut either wayif there is a red or excuse mea blue team watchingdownloading a ton of files from the same IP address with cURL is going to start sticking out to thempossibly depending on how closely they’re watching. 

So for the automated routeyou can use PowerMeta by dafthackIt’s a bow over at Black HillsThis will automatically search Google and Bing for any kind of documentDocsspreadsheetsPDFsAnd then it uses another tool to extract the metadata to a comma separated spreadsheetSo it makes it a lot easier to kind of dig through and start looking at the columns so that you can start seeing what kind of usernames you havewhat kind of file paths they were saved at in the metadatathat kind of thingAnd then I also use a manual approachI use the tool link clipperit’s a chrome addonAnd basically what you can do is save every URL link that you would find on a pageI will go to Google or Bing and I would use different search torques to target the domain that I’m looking atand then look for every kind of file type. 

So it’d be like file type colon PDFdot docdot docx, that kind of thingAnd then once I’ve kind of saved up a list of themI start going through each search result page and downloading that listNow I have noticed that if you try to up how many results show up on a pageyou’ll start running into the automated crawler detection for both Google and BingSo I usually stick to 10 links per pageBut I download all those CSVs and then I grip out the download URLsand then throw them in a for loop in Linuxeither cURL or Wgetbut I try to throw a user agent on there that will look like a standard web or a standard web browser downloading those files and try to throw some kind of sleep between the requests. 

So it’s not just blasting the server and downloading everything all at onceAnd then I’ll combine all the files that were downloaded through the manual methods and through the automatic methodsand then run the extract metadata using bows tool and pull the report from there. 

Another interesting piece of recon is being able to actually pull the internal domain name for an active directory domain externallySo if they are using an onprem ADFS sitea lot of times in the source code for that login pagethere will be a little snippet of JavaScript code that will correct any submissions and say, “Heyyou forgot to put your domain name on there.” And a lot of times it actually has the legit domain thereSo if you access the ADFS siteyou can actually look at the source and a lot of times find the internal domain name that it’s expecting from there. 

Nowthey’re becoming less and less common in my experience a lot of people are moving to the Azure ADFSwhich is like your standard office.com kind of a login pageAnd those don’t have the same thingYou oftentimes login with your email address and password from thereBut they are still out there. 

Another thing is the Outlook web accessHere you’d be looking for either the autodiscover or the EWS like the exchange web services area of OWA and from thereyou can actually perform an NTLM authentication against their serverAnd when you do thatyou can actually pull out the internal domain name and the name of the exchange server inside that NTLM authentication attemptThe only problem with this is when you do… If you just throw user and password at thatThe only problem with it is it does also include your host name in the request 

So make sure that your host isn’t giving away your name or your company that you’re… I guess as part of your OPSECyou don’t want to give away any more information than you have toAnd then there’s also an automated Metasploit moduledoes the same thingIt makes the NTLM authentication requestbut it only grips out the internal domain nameSo if you want the name of the internal exchange server as wellit’s a lot better to do it with cURL and just parsing through the NTLM authentication request that comes back. 

And then finallyyou can do thirdparty port scanningThe list of sites here all will perform port scanning against the target for free or for most of them for freeYou can basically just point it at a domain or an IP address and the Geekflare, IPv6 scanner those two will usually look at just the top ports that are availableBut T1 shopper will actually give you the full 65kthey ask you not to but I mean you can. 

Now HackerTarget is a company that is actually part of DNS dumpsterThey have fullon recon services where you can actually point it at a domain and it will return a lot of this information automatically for youBut there is a chargeI can’t remember off the top of my head how much that costbut it will do port scanningit’ll look for subdomainsit can do subdomain brute forcingIt has a lot of featuresand then Shodan you can also ask it to get more up to date informationI haven’t ever really ran into an issue thoughwhere Shodan information was extremely outdatedMost of the timethey keep it fairly up to date. 

So to summarizea large part of this recon requires zero interaction with the targetYou can build a huge profile of a company without ever sending the first packet or phishing email to themTarget organizations often provide a wealth of informationEverything from their job listings to the files that they released with metadata in themAnd the services that are unnecessarily exposed to the interneta lot of these things can give you information that gives you a huge advantage once you find the land in the network. 

Automated recon is fasterbut manual provides more control over timing and intensitySo if you’re trying to go low and slowif you’re trying to fly under the radarit’s better to do the manual techniquesBut if you’re on a pen testif you’ve got a week to figure all this out or even lessthrow the automated stuff at it and 99of what you get is going to be what you need. 

And then we recommend too the defense should perform the same steps just to make sure that there’s no unnecessary exposures that they have onlineSo you want to make sure that you’re not giving away your internal domain name unless you just absolutely have toor more email addresses than you really needSo the defense side should approach this the same way as the attacker should and that they’re looking for anything that doesn’t really necessarily have to be out there to be helpfulAll right guys that brings us to the endThat’s our teamSee if I have any questions. 

Mike Saunders (39:20): 

I’ve been looking through the discordI don’t see any questions in discord or in GoToWebinar if you’ve got questions throw them up in one of the twoTake a look for thatI see a couple people typing in the discordBy the way folksthis was and if you didn’t noticethis is actually or probably didn’t noticeThis is actually Corey’s first ever like webcast presentationwhatever for securityPersonally I thought he did a fantastic jobSo way to go Corey. 

Corey Overstreet (39:58): 

Thanks. 

Tim Medin (39:59): 

Hopefully we get some more out of Corey’sSmart dudeSomebody posted yesNow you’ve got some OSINTyou know his first name out of Red SiegeYesIt’s also on the websiteLeaving internal email distribution list open to the interwebs is not great eitherAbsolutelynow there’s of course there’s business cases for some of that but I’ve definitely seen somewhere where I’ve know multiple organizations that have done that for like their entire employee mailing listwhich is phenomenal for phishingGreatCoreyof courseFantasticI don’t see any 

Corey Overstreet (40:35): 

Thanks [inaudible 00:40:36]. 

Mike Saunders (40:38): 

Say I wanted to add something just to what Corey was saying about the OSINTFor testersit depends on the kind of assessment you’re doingIf you’re doing something red teamy where you’re supposed to be not getting caughtYou’re supposed to be trying to hideusing multiple sources for doing your testing is helpfulSo have different machines that you can route your traffic throughwhether it’s a Digitalocean node that your proxy chaining through or any other kind of virtual server that you’re running throughHoweverif it’s not an assessment where you’re trying to hidedoing it from one hostso that your client knows what your IP address isis helpful because they can go after the fact and look at what you’ve done and correlate it to the traffic that you generated from your source IP 

And they can use that information to help build better detection be like, “Heyif someone is actually crawling our site and pulling down all the files from metadatathen this is what it looks like.” So using that single IP that’s known and that you provide to your client for those kinds of instances is usefulIf you’re doing it for a red team type of assessmentkeep track of what you did from which operating host so thatthat information can be correlated back at the end of the engagement. 

Corey Overstreet (42:09): 

HeyI wanted to address one of the questions I saw flagged byThe [inaudible 00:42:13] asked if this is my mom’s basementI get that a lotSo when my son was born last yearI gave up my office so that he would have a room and I had to move down to the basementSo we lovingly call it the dungeon but we’ve been looking for a house and we’re actually closing next week on one so yayI get sunshine againSo yeahit’s going to be great. 

Tim Medin (42:44): 

All rightI don’t see any other questions coming inAny other thoughts or commentsAnyoneBy the wayif you guys… Go aheadMike. 

Mike Saunders (42:54): 

I see a question from Cactus about would you email employees for social engineering to gain more informationAbsolutelythat can be something that you can doEmailing employeesI have heard of some really devious red teams that long play using things like third party supportLike let’s say you figured out your customer isI don’t know a Dell customerUsing the Dell support forums to build a relationship with your customerThat’s a very long play type of social engineeringbut that could be effective. 

Tim Medin (43:39): 

YeahcoolSo MGO asks a questionwhat is an OSINT related report look likeSo we don’t have an example of thatI don’t know if there’s anything out thereWe put that as part of our methodology kind of document thatEverything’s sort of publicly available and the hard part isif you’re releasing OSINT information to redacting thatbut still making it usefuland it’s down near impossiblebecause you’ll leave enough pieces there where someone could put couple of pieces together and figure out what the original thing isIt’s a tough gameand I don’t know a great way to do thatThe only other way is to OSINT yourself but then you know all the answers and it feels like cheatingsort ofin my opinion. 

We’re calling it a service desk or help deskYeahI’ve done that before with red teamsCalling like, “Heysorrymy computer’s taking a while to loadto give me the information. I think it’s my antivirusMine’s terribleWhich one are you guys using?” I used that in the past to get that kind of informationSo coolAny more question… I see a few people typingBy the wayif you want to reach out to usif you’ve got any questionsyou want to talk to somebodyone of us here at Red SiegeOnce you’re in the chat or in the questionsjust type Red Siege and we will dig through the email and reach out to you if you have questions about services and such. 

Another questionare there dark web marketplaces for OSINT info on potential targetsI don’t have a good answer for thatI meanI’m sure there’s someI meanthe breached password information is definitely thereAnybody else got info on that? 

Mike Saunders (45:26): 

Not I. 

Corey Overstreet (45:28): 

YeahI haven’t seen anything like thatBut it’s something to look for now. 

Tim Medin (45:32): 

Yeahexactly. 

Mike Saunders (45:35): 

So GMFD asked about when we’re preparing to do phishing campaigns is there a way to see if we’re getting caughtAnd there is a source and I cannot think of what it’s called the site that we’ve used to gauge the effectiveness of our messagedo you remember that CoreyGives you a score[inaudible 00:46:01]I know you guys over at Black Hills have talked about that tool beforeIf you’re still onHappen to know–  

Speaker 4 (46:14): 

I didn’t it would be important to find it. I can’t remember the name 

Corey Overstreet (46:17): 

I know which one you’re talking aboutbut I can’t think of the name of it right off. 

Mike Saunders (46:21): 

YeahI can see it in my headBut there are tools that you can useit’ll help you tell you if you have things wronglike DKIM and DMARCAll of those kinds of things about your email will also tell you how spammy it thinks your message isyou can actually give it a template of your messageOther things that you can try doing is if you can profile where your clientwhere their email livesFor instanceif they’re an Office 365 customeryou can set up Office 365 really cheaplybuy a domain over at GoDaddySign up for a one month trial of Office 365 for five bucks and then email yourself and seedoes it get deliveredIf it does get deliveredlook at the headers and see the Microsoft anti spam headers that are in there how it scores that can give you some informationMxToolbox I believe that is a… I believe but I could be wrongI am wrong. 

Tim Medin (47:26): 

I’ve used that before I can’t remember 

Mike Saunders (47:27): 

That is a useful toolbut it is not the one I’m thinking of. 

Tim Medin (47:27): 

Yeah, it’s not one I’m thinking of either.  

Corey Overstreet (47:34): 

YeahCtrl K asked if we see net blocks that are ISPs, would those be considered in scopeTypicallywe try to avoid thatThat would be one of the reasons we would use the geolocation data from Shodan is to try and kind of rule out devices that wouldn’t necessarily be owned by the client so that we’re not just attacking an ISP and kind of muddy in the water real bad 

Mike Saunders (48:04): 

The answer to my question was male testermale dash testerI just put it in the chat. 

Corey Overstreet (48:21): 

Zeller asked if there was a workaround for the recently disabled paste in search featureI’d have to find the siteI’ll throw it up in discord in a bitBut there’s actually a site that searches a bunch of different paste in sitesAnd I’ve used it a lot in the past to kind of troll through a bunch of paste in sites all at onceI’ll have to look through my bookmarks and find it. 

Mike Saunders (48:50): 

I haven’t tested this but I believe if you have a Pastebin PRO account you get an API keyyou get API access and the scraping API has been disabledBut the Search API has not been disabledSo you should still be able to use API access to search 

Corey Overstreet (49:13): 

I’m not seeing any other questions there at all. 

Tim Medin (49:18): 

I think that’s going to wrap us upI don’t see any other questionsGet your questions in quickly if need beAgainif you want us to contact youtype Red Siege in the goto chatof course you can reach out to us in the discordredsiege.com/discordWith thatI want to thank you guys for comingAgain thank youCorey for a fantastic presentationKeep an eye outWe are going to be doing some more of theseWe’re all going to be at home for a little bit probably stillSo we’ll have some more free info out there for you. But with that, I’m going to thank you guys all for attending and have a good day and a good weekend.