✍️Wireshark, сетевой трафик, протоколы, метаданные и технические следы коммуникаций - всё это относится к SIGINT.
Это не классический OSINT, но крайне прикладная история. Сегодня будет разбор одного из направлений.

💼Помимо этого блога у нас есть то, что делает всё это по-настоящему сильным -
наше Discord-сообщество по информационной безопасности.

Это крупнейшее русско-язычное (СНГ) комьюнити в индустрии, где собрались специалисты с разным опытом, разными интересами и разным уровнем подготовки - от тех, кто только заходит в кибербезопасность и ИБ, до практиков из SOC, Red Team, Blue Team, Pentest и AppSec.

Здесь:

Новички получают помощь и понятные ответы без токсичности (активное противодействие троллингу)
Практики делятся реальными кейсами и инструментами
Обсуждаются уязвимости, атаки и защита (в этичных рамках)
Собираются команды на CTF и проекты
Публикуются вакансии и стажировки (скоро)
И формируется среда, где можно расти быстрее, чем в одиночку

Ссылка на Discord 🎥

✍️SIGINT на практике: что реально можно вытащить из трафика

Берём pcap-дамп или живой трафик. Без «взломов», без MITM — обычный захват сети.

🤔DNS — самая жирная точка входа

Даже при HTTPS ты видишь:

все домены, к которым обращается система

частоту запросов

нестандартные TLD

DGA-подобное поведение

Практика:

фильтр: dns
смотри повторяющиеся и длинные домены

выявляй управляющие сервера, трекеры, CDN, прокси

📌В расследованиях DNS часто важнее содержимого трафика.

⚙️ SNI и TLS-метаданные

HTTPS ≠ невидимость.

В TLS можно вытащить:
- SNI (имя хоста)
- версию TLS
- наборы шифров
- поведение клиента

Практика:

- фильтр: tls.handshake.extensions_server_name
- сопоставляй домены с DNS
- смотри, какие сервисы реально используются

📌Полезно для атрибуции софта и инфраструктуры.

🤔IP и инфраструктура

Каждое соединение — это цифровой след.

Практика:
- фильтр: ip.addr == x.x.x.x
- смотри направления, количество сессий, интервалы
- выделяй «маячки» (beaconing)

📌 Регулярные короткие сессии = красный флаг.

🤔HTTP (когда он есть)

Редко, но до сих пор встречается.

Практика:
- фильтр: http
- User-Agent
- URI
- методы запросов

📌Пример: по UA часто определяется:
- библиотека
- язык
- конкретный инструмент

🤔Поведенческий анализ (самое важное)

Не контент, а паттерн.

Практика:
- Statistics < Conversations
- Statistics < Endpoints
- Statistics <
IO Graphs

Ищешь:
- периодичность
- аномальные пики
- странные объёмы данных

📌 Это база для threat hunting и расследований.

Что это даёт в реальности

На выходе ты можешь:
- понять, что делает система
- найти скрытые сервисы
- подтвердить использование конкретных инструментов
- связать сетевую активность с объектом OSINT

Это и есть SIGINT руками, а не «что такое Wireshark».

🎥Современные ограничения и обходы

В реальных сетях всё чаще встречаются технологии, которые пытаются скрыть метаданные.

DoH / DoT (DNS over HTTPS / TLS)
DNS может быть зашифрован. Тогда домены не видны напрямую, но остаётся SIGINT:

какой DoH-провайдер используется (Cloudflare, Google, NextDNS и т.д.)
IP, тайминги и объёмы запросов
поведенческий профиль резолвера

📌 Даже «скрытый» DNS остаётся отпечатком системы.

ECH (Encrypted ClientHello)
В новых версиях TLS SNI может быть зашифрован.
Имя сайта не видно, но остаются:

IP и CDN
размер и структура TLS-рукопожатия
fingerprint клиента

📌 SNI может исчезнуть, но инфраструктура - нет.

TLS fingerprints (JA3 / JA4)
Каждый TLS-клиент имеет уникальный «отпечаток»:

порядок cipher suites
расширения
версии протокола

По JA3/JA4 можно:

отличить Chrome от curl
браузер от malware
легитимный софт от C2

📌 Это основа атрибуции даже при полностью зашифрованном трафике.

Подписаться на проект

⏱ Основные типы метаданных

1. Описательные — что это
Название, автор, теги, описание.

2. Структурные — как устроено
Страницы, главы, слои, вложенные файлы.

3. Административные — как управляется
🛜 Технические: устройство, софт, формат
🛜 Права: владелец, лицензия
🛜 Сохранность: хеши, версии

4. Временные — когда
Дата создания, изменения, публикации.

5. Географические — где
GPS, координаты, часовой пояс.

6. Идентификационные — чем идентифицируется
ID, UUID, серийные номера, хеши.

7. Поведенческие — как использовалось
История правок, просмотры, клики.

Подписаться на проект

💼 Где потренироваться в OSINT и пройти CTF

Если хочешь прокачать навыки OSINT - лучший способ делать это на практике через CTF-челленджи.

🪐 OSINT Industries
https://ctf.osint.industries/challenges

Платформа с реальными OSINT-задачами: поиск людей, геолокация, анализ открытых данных. Подходит для любого уровня.

🪐OSINT Combine CTF
https://osintcombine.ctfd.io/

Классический CTF-формат с флагами и рейтингом. Отличный вариант для тренировки и соревнований.

🔘OSINT CTF Beginner Roadmap
https://xelessaway.medium.com/osint-ctf-beginner-roadmap-191d1601e48f

Полезный информационный пост для новичков: что такое OSINT, какие инструменты использовать и с чего начать путь в CTF.

👤 А уже через некоторое время мы сделаем свою OSINT-CTF, где можно будет проверить знания и побороться за интересные задания

Подписаться на проект

🏷Стоит ли вернуть полноценный спектр реакций?
Я рассмотрю все адекватные идеи по улучшению Telegram канала: t.me/anonaskbot?start=d4wi0eo

✒️С одним из текущих (и уже бывших) PR-менеджеров произошло серьёзное недопонимание. Мне была нужна активная аудитория, а в итоге получилось так, что она вроде бы есть, но в каких объёмах до сих пор неясно. Точно не 15 000, как показывают просмотры.

Проанализировав все свои посты, я заметил аномалии: где-то резкий рост, где-то падение, причём разница в тысячи. В итоге выяснилось, что под видом «активных» подписчиков были накрученные.

Один из людей, отвечавших за рекламу и являвшийся ключевой фигурой в этом процессе, отстранён от работы.

Но в любом случае я открываю чат для вас! 👨‍👦‍👦

👨‍👦‍👦Доброе утро любители цифровой безопасности! У вас виден чат?

💠 Какие бывают IP-адреса? Полный разбор для OSINT и не только

🔗Разбираем по полочкам, какие бывают IP и что важно учитывать при анализе

📥 По версии протокола:

IPv4 — привычный формат: 192.168.1.1

IPv6 — более длинный и современный: 2001:db8::1

📑 По доступности:

Публичный (Public IP)
🖥 видим в интернете. Выдаёт провайдер.

Приватный (Private IP)
🖥 Используется внутри сети. Не выходит в интернет напрямую.
Примеры:

10.0.0.0 – 10.255.255.255

172.16.0.0 – 172.31.255.255

192.168.0.0 – 192.168.255.255

❓ По типу выдачи:

Статический (Static IP)
📈 Не меняется. Часто у серверов.

Динамический (Dynamic IP)
📃 Меняется при каждой сессии. Выдаётся автоматически (DHCP).

🏷По назначению (трафику):

Unicast — точечно одному получателю

Broadcast — всем в сети

Multicast — группе устройств

Anycast — ближайшему получателю (часто используется у DNS и CDN)

💡Специальные IP:

127.0.0.1 — loopback (localhost)

0.0.0.0 — без адреса (или “все адреса”)

169.254.x.x — самоназначенный (если нет DHCP)

255.255.255.255 — broadcast по всей подсети

🏷Зачем это знать?
IP-адрес важная точка входа в OSINT, трекинг, определение геолокации, анализа утечек и атак. Понимание их типов помогает не перепутать локальный адрес с реальным, а левый с настоящим.

OSINT Academy | Discord | Telegram | OSINT Framework

👨‍👦‍👦Парсинг e-mail с GitHub

1. Клонируем репозиторий:

git clone https://github.com/username/repository.git
cd repository

🤔Вместо username/repository вставь нужный проект.

2. Ищем e-mail во всех файлах:

grep -r -E -o "[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}" .

➡️ -r — рекурсивно по всем файлам
➡️ -E — включает расширенные шаблоны
➡️ -o — выводит только совпадения
➡️Регулярка ищет email-адреса

3. Сохраняем найденные адреса в файл:

grep -r -E -o "[...]" . > emails.txt

📬Файл emails.txt будет содержать все найденные адреса

4. Удаляем дубликаты:

sort emails.txt | uniq > emails_unique.txt

🔗sort упорядочивает
🔗uniq удаляет повторы

5. Фильтруем мусор (боты, GitHub и т.д.):

grep -vE "noreply|example|github.com" emails_unique.txt > clean_emails.txt

➡️ -v — инверсия (удаляет строки с совпадениями)
➡️-E — расширенные шаблоны
➡️Результат в clean_emails.txt

🕵️‍♂️ OSINT по найденным e-mail

1. Проверка на утечки:

👛https://haveibeenpwned.com — пароли и взломы
👛https://emailrep.io — репутация почты
👛https://hunter.io — корпоративные почты и источники
👛https://dehashed.com — базы, IP, телефоны (ограничен бесплатно)
👛https://epieos.com/ — базовый OSINT инструмент

2. Telegram-поиск:

🔗Вставь e-mail в строку поиска Telegram иногда показываются привязанные аккаунты

🗣️Если знаешь Telegram-юзернейм, используй бота:
@UserInfoBot
Получи Telegram ID

3. Google Dorks:

📊Ищи упоминания по другим сайтам:

"email@example.com" site:linkedin.com
"email@example.com" site:pastebin.com
"email@example.com" site:facebook.com

➡️Лайфхак: добавляй фильтры вроде filetype:txt, intitle:index.of и inurl: так ты найдёшь утечки и списки.

📊Вывод: Полноценный OSINT-цикл закрыт

🔗Профилинг в OSINT: анализ поведения цели через открытые источники.

Основа - цифровой след: как человек пишет, что публикует, когда проявляет активность, как реагирует на стресс, конфликты и давление.

➡️Что анализируется:

— стиль коммуникации (лексика, тон, повторяющиеся фразы)
— паттерны активности (время онлайна, цикличность постов, всплески активности)
— социальные связи (кто взаимодействует, кто влияет, кто игнорируется)
— реакция на события (конфликты, утечки, критика, давление)
— изменения поведения со временем

Главное правило — поиск паттернов. Один пост редко даёт ценность. Повторяющиеся действия формируют поведенческую модель.

➡️Профилинг в OSINT позволяет:
➡️выявлять альтернативные аккаунты
➡️оценивать уровень потенциального риска
➡️прогнозировать поведение цели
➡️обнаруживать слабые места в OPSEC
➡️связывать аккаунты через поведенческие совпадения

🏷Основа профилинга: сопоставление цифровых привычек, анализа контекста и фиксация отклонений от стандартного поведения цели.

👨‍👦‍👦Что касается отписок - постепенно удаляем ботов, которые были накручены ранее.