隨著技術(shù)的進(jìn)步和社會變得更加互聯(lián),您的數(shù)字設(shè)備位于全頻譜搜索引擎上的機(jī)會急劇增加。資產(chǎn)和設(shè)備所有者可能會選擇故意將其設(shè)備暴露給公共互聯(lián)網(wǎng),但有些人沒有意識到這種潛力,并且在不知不覺中面臨更高的網(wǎng)絡(luò)攻擊風(fēng)險。查詢連接到 Internet 的資產(chǎn)的能力對于管理攻擊面至關(guān)重要,Shodan.io 可以支持這些工作。
什么是SHODAN
Shodan(www.shodan.io)是一個基于網(wǎng)絡(luò)的互聯(lián)網(wǎng)連接設(shè)備搜索平臺。該工具不僅可以用于識別連接互聯(lián)網(wǎng)的計算機(jī)和物聯(lián)網(wǎng)/工業(yè)物聯(lián)網(wǎng)(IoT/IIoT),還可以用于識別互聯(lián)網(wǎng)連接的工業(yè)控制系統(tǒng)(ICS)和平臺。此外,可以從搜索結(jié)果中收集潛在的漏洞利用、默認(rèn)密碼和其他攻擊元素。與漏洞工具、日志記錄聚合器和票務(wù)系統(tǒng)的集成使Shodan 能夠無縫集成到組織的基礎(chǔ)架構(gòu)中。
Shodan是一個搜索引擎,允許用戶使用各種過濾器搜索連接到Internet的各種類型的服務(wù)器(網(wǎng)絡(luò)攝像頭、路由器、服務(wù)器等)。有些人還把它描述為服務(wù)橫幅的搜索引擎,這是服務(wù)器發(fā)回給客戶端的元數(shù)據(jù)。這可以是有關(guān)服務(wù)器軟件的信息、服務(wù)支持的選項、歡迎消息或客戶端在與服務(wù)器交互之前可以找到的任何其他信息。
Shodan 主要在Web服務(wù)器(HTTP/HTTPS–端口80、8080、443、8443)以及FTP(端口 21)、SSH(端口 22)、Telnet(端口 23)、SNMP(端口 161)、IMAP上收集數(shù)據(jù)(端口 143 或(加密)993)、SMTP(端口 25)、SIP(端口 5060)、和實(shí)時流協(xié)議(RTSP,端口 554)。后者可用于訪問網(wǎng)絡(luò)攝像頭及其視頻流。
Shodan 由計算機(jī)程序員John Matherly于2009年推出,他在 2003 年構(gòu)想了搜索連接到 Internet 的設(shè)備的想法。Shodan 這個名字是對來自System Shock視頻游戲系列的角色SHODAN的引用。
SHODAN的潛在用例
Shodan的一個關(guān)鍵功能是它被用作攻擊面減少工具,能夠讀取任意數(shù)量的互聯(lián)網(wǎng)連接目標(biāo),包括ICS和IIoT。通過拉回連接互聯(lián)網(wǎng)設(shè)備的橫幅,Shodan可以找到搜索過濾器的任意組合,以縮小搜索結(jié)果的范圍,以專門針對可能易受攻擊的設(shè)備。以下是一些用于減少攻擊面的常見用例搜索。
2015 年 12 月,包括Ars Technica在內(nèi)的各種新聞媒體報道稱,一名安全研究人員使用 Shodan 識別了數(shù)千個系統(tǒng)上可訪問的MongoDB數(shù)據(jù)庫,其中一個由macOS安全工具M(jìn)acKeeper的開發(fā)商 Kromtech 托管。
2021 年 11 月,PCMagazine 描述了AT&T如何使用 Shodan檢測感染惡意軟件的物聯(lián)網(wǎng)設(shè)備。
評估公共資產(chǎn)風(fēng)險狀況
每個發(fā)現(xiàn)都表示一個不同的系統(tǒng),并且每個系統(tǒng)可能具有許多在不同端口上運(yùn)行的服務(wù)條目。對于公開的每個系統(tǒng)、服務(wù)和端口,請詢問以下問題:
1、 為什么需要運(yùn)行此系統(tǒng)和服務(wù)?默認(rèn)情況下,設(shè)備通常會啟用在正常操作中不需要的功能。
2、 需要將此系統(tǒng)、服務(wù)和端口公開給互聯(lián)網(wǎng)?管理工具可能無意中配置為在可訪問 Internet的界面上進(jìn)行連接。
3、 此系統(tǒng)、服務(wù)或端口是否可以駐留在 VPN 后面? VPN添加了強(qiáng)大的身份驗(yàn)證機(jī)制,并刪除了指向潛在對手的直接鏈接。
4、 該服務(wù)能否提供強(qiáng)大的多因素身份驗(yàn)證?請與您的供應(yīng)商聯(lián)系以探索選項。
5、 上次完全更新此系統(tǒng)或服務(wù)是什么時候?對于系統(tǒng) 未更新的原因,可能有有效的業(yè)務(wù)理由; 否則,請遵循 更改管理流程并按計劃更新 系統(tǒng)。
6、 此系統(tǒng)或服務(wù)上一次強(qiáng)化是什么時候?請與您的供應(yīng)商聯(lián)系,以獲取最佳實(shí)踐和支持。
有用的SHODAN搜索
1、 查找互聯(lián)網(wǎng)可訪問的SQL 服務(wù)器:產(chǎn)品:"SQL" 端口:"1433"
2、 查找可訪問互聯(lián)網(wǎng)的Windows 計算機(jī),其中SMB 暴露在互聯(lián)網(wǎng)上:os:"windows" 端口:"445"
3、 查找可訪問互聯(lián)網(wǎng)的Windows XP 設(shè)備: os:"windowsxp"
4、 查找互聯(lián)網(wǎng)可訪問的OPC UA 發(fā)現(xiàn)服務(wù)器:產(chǎn)品:"OPC" 端口:"4840"
5、 找到默認(rèn)密碼:"密碼是"或"默認(rèn)密碼" -"必需"
更多信息
Shodan是一個非常強(qiáng)大的工具,具有廣泛的搜索功能。根據(jù)所需的使用類型,有幾個可用的許可選項。有關(guān) Shodan.io 的詳細(xì)信息或獲取進(jìn)一步的搜索指南,請訪問https://www.shodan.io。
用法該網(wǎng)站
掃描互聯(lián)網(wǎng)以查找可公開訪問的設(shè)備。Shodan 目前向沒有賬戶的用戶返回10 個結(jié)果,向有賬戶的用戶返回 50 個結(jié)果。如果用戶想取消限制,需要提供理由并支付費(fèi)用。Shodan 的主要用戶是網(wǎng)絡(luò)安全專業(yè)人士、研究人員和執(zhí)法機(jī)構(gòu)。雖然網(wǎng)絡(luò)犯罪分子也可以使用該網(wǎng)站,但有些人可以訪問可以在不被發(fā)現(xiàn)的情況下完成相同任務(wù)的僵尸網(wǎng)絡(luò)。
注:美國政府聲稱不認(rèn)可任何商業(yè)產(chǎn)品或服務(wù)。通過服務(wù)標(biāo)記、商標(biāo)、制造商或其他方式對特定商業(yè)產(chǎn)品、流程或服務(wù)的任何引用均不構(gòu)成或暗示美國政府對其認(rèn)可、推薦或偏袒。參考來源:維基百科、CISA官網(wǎng)、百度百科等