Herkese merhaba, bu yazımda osint araçlarından biri olan FOCA’ dan bahsedeceğim.
Foca Nedir?
Foca, windows platformlarında çalışan open source ve genellikle pasif tarama amacıyla kullanılan bir bilgi toplama aracı. İnternetteki kamuya açık belgeleri ~word, pdf gibi~ bulup indirerek, bu dosyaların içindeki kullanıcı adları, sunucu adları ve yazılım detayları gibi gizli meta verileri analiz eder.
Sistem gereksinimleri ise;
Microsoft Windows (64 bit). Sürüm 7, 8, 8.1 ve 10.
Microsoft .NET Framework 4.7.1.
Microsoft Visual C ++ 2010 x64 veya üzeri
SQL Server 2014 veya üzeri
C++ indirme sitesi için tıklayabilirsiniz.
.NET Framework indirme sitesi için tıklayabilirsiniz.
Sql server indirme sitesi için tıklayabilirsiniz.
Sql server kurulumunu aşağıya yüklemiş olduğum ekran kaydındaki gibi yapabilirsiniz.
İsterseniz bilgileri txt dosyasına kopyalayabilirsiniz. Connect Now ile bağlanalım ve Close butonu ile çıkalım.
Bu işlemlerden sonra bilgisayarı yeniden başlatmamız gerekiyor.
Github’ daki Foca’ nın son sürümüne ait zip klasörünü indirelim. İndirme linki için tıklayabilirsiniz.
İndirdiğimiz zip klasörünü ayıklayalım ve FOCA.exe dosyamızı çalıştıralım.
Ara yüzü bizi karşılıyor.
Üstte bulunan toolbarı inceleyelim.
Project sekmesi ile yeni proje oluşturabilir, projeyi kaydedebilir ve istediğimizde uygulamayı kapatabiliriz.
Plugins sekmesi ile foca eklenti desteğiyle çalışan modüllerini yönetebiliriz.
Options sekmesi ile aracın genel ayarlarını yapabiliyoruz.
İlk sekmede metadata ile ilgili ayarları yapabiliriz.
Use HEAD to get the file size seçeneği ile dosyanın tamamını indirmeden önce http head isteği kullanarak boyutunu öğrenebiliriz.
Resolve host in metadata analysis (Slower) seçeneği ile metadata da geçen host adlarını çözümleyip ip adreslerine dönüştürmeyi sağlar.
Simultaneous downloads seçeneği ise aynı anda indirilecek belge sayısını belirlememizi sağlar.
Dns search sekmesi ile hangi kayıtların analiz edileceği belirleyebiliriz.
Use all DNS servers seçeneği ile DNS sorgularını sadece tek bir DNS sunucusuna değil, mevcut tüm DNS sunucularına göndermemizi sağlar.
Max recursion seçeneği ile DNS sorgularında, reverse lookup (IP adresinin hangi alan adına ait olduğunu bulmaya çalışması) işlemlerinin seviye ayarını belirlememizi sağlar.
Parallel DNS Queries seçeneği ise aynı anda çalışacak paralel dns sorgusu sayısını belirlememizi sağlar.
DNS Cache Snooping sekmesi Dns önbelleğini izleyerek ve daha önce ziyaret edilen web siteleri veya Dns sorguları hakkında bilgi toplama işlemini ifade ederek belirli bir alan adı hakkında Dns sorgularını görebilmemizi sağlar.
DNS Cache Host Test seçeneği dns önbelleğinde belirli bir alan adını test etmemizi sağlar.
General configuration sekmesi ise dns keşfi ve internet taramaları için çeşitli API anahtarlarını ekleyebileceğimiz ve eşzamanlı görevleri kontrol edebileceğimiz bir yapılandırma ekranı.
Simultaneous tasks seçeneği ile aynı anda çalıştırılacak görev sayısını belirleyebiliriz.
Only scan /24 netranges seçeneği ile yalnızca belirli bir IP adresi aralığındaki ağları taramak için yani IP adresleri 0–255 arasında olan /24 ağları taramak için kullanabiliriz.
Google Custom Search API seçeneği foca ile Google üzerinden arama yapabilmek için API anahtarlarını girebileceğimiz kısım.
Shodan API seçeneği ile Shodan verilerine erişim sağlamak için gerekli api keyi girebileceğimiz kısım.
Bing Search API seçeneği ile Bing arama motoruna dair API anahtarını girerek arama yapabilmesini sağlayabiliriz.
DIABLO seçeneği ile hedef sistemler üzerinde daha agresif ve aktif bilgi toplama işlemleri yapan gelişmiş bir modül. API anahtarı ve secret yapılandırma alanı sonda yer alıyor.
Ekranın sol panelinde daha detaylı bir ağ ve belge analiz yapısı gözükmekte.
Network seçeneğinde bulunan;
Clients, ağda tespit edilen istemcileri listeliyor.
Servers, ağda tespit edilen sunucuları gösteriyor.
Domains seçeneği analiz yapılan alan adlarına ait bilgileri sunuyor.
Document Analysis seçeneğinde bulunan;
Files, belge analizi yapılacak dosyaların listelendiği alan
Metadata Summary, belgelerle ilgili meta verileri (yazar, tarih, başlık gibi) özetleyen alan.
Malware Summary DIARIO (Digital Investigation & Analysis of Removable Objects), malware tespiti ve analizi için kullanılan özet alanıdır.
New project seçeneğine tıklayarak projemizi oluşturmaya başlayalım.
Select project mevcut projelerden birini seçmek için kullanılıyor. Eğer yeni bir proje oluşturacaksak, yeni bir proje adı girilebiliriz.
Project name ile projenin ismi burada belirleyebiliriz.
Domain website ile analiz edilecek web sitesinin alan adını girebiliriz.
Alternative domains ile projeye alternatif alan adları ekleyebiliriz.
Folder where to save documents seçeneği ile proje dosyalarının kaydedileceği klasör seçebiliriz.
Project date proje oluşturulurken tarihin girildiği kısım.
Project notes ile proje hakkında ek notlar ekleyebiliriz.
Import ile var olan bir projeyi içeri aktarabiliriz.
Create butonu ile proje oluşturma işlemini tamamlayabiliriz.
Sonrasında bizi search ekranı karşılayacak.
Belirli arama motorları ve dosya uzantılarına göre arama yapabilmemizi sağlıyor.
Google, Bing ve DuckDuckGo gibi popüler arama motorlarından istediklerimizi seçebiliriz. Bu motorlar üzerinden arama yaparak, belirli dosyaları ve bilgileri bulmaya çalışır.
Extensions kısmı hangi dosya türlerini arayacağımızı belirlediğimiz kısımdır.
Custom search ile özelleştirilmiş bir arama yapabiliriz.
Altta bulunan Results Table ise arama sonuçlarının listelendiği kısım. Her bir sonuç ID, tür, URL, indirilen dosyalar, indirilme tarihi, boyut ve meta verileri gibi bilgileriyle birlikte görüntülenebiliyor.
Seach all butonu ile aramamızı başlatalım.
Sonrasında Network araması için ayarlamalarımızı yapalım.
Select search type kısmında farklı arama türleri arasından seçim yapabiliriz.
Web Search ile Google veya Bing gibi arama motorlarını kullanarak, belirli bir domainin alt alan adlarını arayabiliriz.
Dictionary Search ile belirli bir dns adı için yaygın olarak kullanılan dns adlarını içeren bir listeyi kullanarak yeni alt alan adları arayabiliriz. Browse seçeneğine tıklayarak yüklü gelen hosts.txt dosyamızı seçebiliriz.
IP Bing seçeneği ile belirli bir IP adresiyle ilişkili alt alan adlarını bulmak için kullanabiliriz.
Bing Web veya Bing API kullanarak belirli bir IP adresinde barındırılan domainleri arayabiliriz.
Bing web limitations kısmı Bing için sınırlamaları gösteriyor.
Shodan seçeneği ise internet üzerindeki cihazları ve hizmetleri taramak için shodan api si ile arama yapabilmemizi sağlar.
Start butonu ile aramayı başlatalım.
Arama sonucunda bulunan dosyalar ile ilgili bazı işlemleri yapabiliyoruz.
Download ile belgeyi indirebilir,
Extract Metadata ile belgeye ait meta verileri (yazar, tarih, başlık gibi) çıkartabilir,
Analyze Malware ile belgedeki kötü amaçlı yazılım olup olmadığını analiz edebilir,
Delete ile seçilen dosyayı silebilir,
Download All ile tüm dosyaları topluca indirebilir,
Extract All Metadata ile tüm belgelerin meta verilerini çıkartabilir,
Analyze All Malware ile tüm dosyaların kötü amaçlı yazılım analizini yapabilir,
Delete All ile tüm dosyaları silebilir,
Add file/folder ile dosya veya klasör ekleyebilir,
Add URL from file ile kullanıcıların bir dosyadan URL’leri içe aktararak Foca aracına ekleyebiliriz
Links kısmında ise; Open in browser ile seçilen bağlantıyı tarayıcıda açabilir, Copy to clipboard ile seçilen bağlantıyı panoya kopyalayabiliriz.
Tarama işlemi tamamlandığında document analysis sekmesindeki tüm dosyaları indirelim ve sonrasında extract all metadata seçeneği ile tüm belgelerin meta verilerini çıkartalım.
Alt paneli inceleyelim.
Settings sekmesi sonuç görüntüleme ayarlarını ve kullanılacak modülleri yapılandırmamızı sağlar.
Severity filter ile analiz edilen verilerdeki severite seviyeleri filtrelenebiliyor. “debug”, “error”, “low”, “medium”, ve “high” gibi farklı ciddiyet seviyeleri seçilerek, belirli seviyedeki logları görüntüleyebiliriz.
Module filter ile hangi modüllerin verilerini görmek istediğimizi seçebiliriz.
Log View kısmında zaman damgası (Time), kaynağı (Source), ciddiyet seviyesi (Severity) ve mesaj (Message) bilgilerini görüntüleyebiliyoruz.
Check all / Uncheck all ile analizdeki tüm verileri seçmek ya da seçimini kaldırmak için kullanabiliriz.
Deactivate AutoScroll seçeneği ile logların otomatik kaydırılmasını devre dışı bırakabiliriz. Verilerin sayfa sonunda otomatik olarak kaydırılmasını istemezsek bu seçeneği kullanabiliriz.
Clear ise tüm görüntülenen verileri temizleyebilmemizi sağlar.
Şimdi sonuçları inceleyelim. Yüklediğim ekran kayıtları ile sonuçları sizler de gözlemleyebilirsiniz.
Network sonuçlarını inceleyelim.
Domain sonuçlarını inceleyelim.
Document analysis files sonuçlarını inceleyelim.
Metadata summary sonuçlarını inceleyelim.
Çok fazla arama isteği attığımızda hata alabileceğimizi de unutmayalım.
Okuduğunuz için teşekkür ederim..
