隨著技術(shù)的進(jìn)步和社會(huì)變得更加互聯(lián)��,您的數(shù)字設(shè)備位于全頻譜搜索引擎上的機(jī)會(huì)急劇增加。資產(chǎn)和設(shè)備所有者可能會(huì)選擇故意將其設(shè)備暴露給公共互聯(lián)網(wǎng)����,但有些人沒(méi)有意識(shí)到這種潛力,并且在不知不覺(jué)中面臨更高的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)���。查詢連接到 Internet 的資產(chǎn)的能力對(duì)于管理攻擊面至關(guān)重要���,Shodan.io 可以支持這些工作。
什么是SHODAN
Shodan(www.shodan.io)是一個(gè)基于網(wǎng)絡(luò)的互聯(lián)網(wǎng)連接設(shè)備搜索平臺(tái)��。該工具不僅可以用于識(shí)別連接互聯(lián)網(wǎng)的計(jì)算機(jī)和物聯(lián)網(wǎng)/工業(yè)物聯(lián)網(wǎng)(IoT/IIoT)�����,還可以用于識(shí)別互聯(lián)網(wǎng)連接的工業(yè)控制系統(tǒng)(ICS)和平臺(tái)���。此外����,可以從搜索結(jié)果中收集潛在的漏洞利用、默認(rèn)密碼和其他攻擊元素�����。與漏洞工具����、日志記錄聚合器和票務(wù)系統(tǒng)的集成使Shodan 能夠無(wú)縫集成到組織的基礎(chǔ)架構(gòu)中。
Shodan是一個(gè)搜索引擎����,允許用戶使用各種過(guò)濾器搜索連接到Internet的各種類型的服務(wù)器(網(wǎng)絡(luò)攝像頭、路由器�、服務(wù)器等)。有些人還把它描述為服務(wù)橫幅的搜索引擎�,這是服務(wù)器發(fā)回給客戶端的元數(shù)據(jù)。這可以是有關(guān)服務(wù)器軟件的信息�、服務(wù)支持的選項(xiàng)、歡迎消息或客戶端在與服務(wù)器交互之前可以找到的任何其他信息���。
Shodan 主要在Web服務(wù)器(HTTP/HTTPS–端口80��、8080���、443、8443)以及FTP(端口 21)�����、SSH(端口 22)����、Telnet(端口 23)、SNMP(端口 161)����、IMAP上收集數(shù)據(jù)(端口 143 或(加密)993)、SMTP(端口 25)�����、SIP(端口 5060)��、和實(shí)時(shí)流協(xié)議(RTSP�,端口 554)。后者可用于訪問(wèn)網(wǎng)絡(luò)攝像頭及其視頻流�����。
Shodan 由計(jì)算機(jī)程序員John Matherly于2009年推出,他在 2003 年構(gòu)想了搜索連接到 Internet 的設(shè)備的想法����。Shodan 這個(gè)名字是對(duì)來(lái)自System Shock視頻游戲系列的角色SHODAN的引用。
SHODAN的潛在用例
Shodan的一個(gè)關(guān)鍵功能是它被用作攻擊面減少工具�����,能夠讀取任意數(shù)量的互聯(lián)網(wǎng)連接目標(biāo)����,包括ICS和IIoT。通過(guò)拉回連接互聯(lián)網(wǎng)設(shè)備的橫幅��,Shodan可以找到搜索過(guò)濾器的任意組合����,以縮小搜索結(jié)果的范圍,以專門針對(duì)可能易受攻擊的設(shè)備����。以下是一些用于減少攻擊面的常見(jiàn)用例搜索。
2015 年 12 月,包括Ars Technica在內(nèi)的各種新聞媒體報(bào)道稱��,一名安全研究人員使用 Shodan 識(shí)別了數(shù)千個(gè)系統(tǒng)上可訪問(wèn)的MongoDB數(shù)據(jù)庫(kù)��,其中一個(gè)由macOS安全工具M(jìn)acKeeper的開(kāi)發(fā)商 Kromtech 托管�。
2021 年 11 月,PCMagazine 描述了AT&T如何使用 Shodan檢測(cè)感染惡意軟件的物聯(lián)網(wǎng)設(shè)備����。
評(píng)估公共資產(chǎn)風(fēng)險(xiǎn)狀況
每個(gè)發(fā)現(xiàn)都表示一個(gè)不同的系統(tǒng)��,并且每個(gè)系統(tǒng)可能具有許多在不同端口上運(yùn)行的服務(wù)條目��。對(duì)于公開(kāi)的每個(gè)系統(tǒng)����、服務(wù)和端口,請(qǐng)?jiān)儐?wèn)以下問(wèn)題:
1��、 為什么需要運(yùn)行此系統(tǒng)和服務(wù)?默認(rèn)情況下����,設(shè)備通常會(huì)啟用在正常操作中不需要的功能。
2���、 需要將此系統(tǒng)�、服務(wù)和端口公開(kāi)給互聯(lián)網(wǎng)?管理工具可能無(wú)意中配置為在可訪問(wèn) Internet的界面上進(jìn)行連接。
3����、 此系統(tǒng)、服務(wù)或端口是否可以駐留在 VPN 后面? VPN添加了強(qiáng)大的身份驗(yàn)證機(jī)制��,并刪除了指向潛在對(duì)手的直接鏈接����。
4、 該服務(wù)能否提供強(qiáng)大的多因素身份驗(yàn)證?請(qǐng)與您的供應(yīng)商聯(lián)系以探索選項(xiàng)���。
5�����、 上次完全更新此系統(tǒng)或服務(wù)是什么時(shí)候?對(duì)于系統(tǒng) 未更新的原因����,可能有有效的業(yè)務(wù)理由; 否則�����,請(qǐng)遵循 更改管理流程并按計(jì)劃更新 系統(tǒng)。
6��、 此系統(tǒng)或服務(wù)上一次強(qiáng)化是什么時(shí)候?請(qǐng)與您的供應(yīng)商聯(lián)系����,以獲取最佳實(shí)踐和支持。
有用的SHODAN搜索
1�、 查找互聯(lián)網(wǎng)可訪問(wèn)的SQL 服務(wù)器:產(chǎn)品:"SQL" 端口:"1433"
2、 查找可訪問(wèn)互聯(lián)網(wǎng)的Windows 計(jì)算機(jī)��,其中SMB 暴露在互聯(lián)網(wǎng)上:os:"windows" 端口:"445"
3�、 查找可訪問(wèn)互聯(lián)網(wǎng)的Windows XP 設(shè)備: os:"windowsxp"
4、 查找互聯(lián)網(wǎng)可訪問(wèn)的OPC UA 發(fā)現(xiàn)服務(wù)器:產(chǎn)品:"OPC" 端口:"4840"
5�、 找到默認(rèn)密碼:"密碼是"或"默認(rèn)密碼" -"必需"
更多信息
Shodan是一個(gè)非常強(qiáng)大的工具�����,具有廣泛的搜索功能��。根據(jù)所需的使用類型��,有幾個(gè)可用的許可選項(xiàng)����。有關(guān) Shodan.io 的詳細(xì)信息或獲取進(jìn)一步的搜索指南��,請(qǐng)?jiān)L問(wèn)https://www.shodan.io�����。
用法該網(wǎng)站
掃描互聯(lián)網(wǎng)以查找可公開(kāi)訪問(wèn)的設(shè)備��。Shodan 目前向沒(méi)有賬戶的用戶返回10 個(gè)結(jié)果����,向有賬戶的用戶返回 50 個(gè)結(jié)果���。如果用戶想取消限制�,需要提供理由并支付費(fèi)用�。Shodan 的主要用戶是網(wǎng)絡(luò)安全專業(yè)人士、研究人員和執(zhí)法機(jī)構(gòu)��。雖然網(wǎng)絡(luò)犯罪分子也可以使用該網(wǎng)站�,但有些人可以訪問(wèn)可以在不被發(fā)現(xiàn)的情況下完成相同任務(wù)的僵尸網(wǎng)絡(luò)。
注:美國(guó)政府聲稱不認(rèn)可任何商業(yè)產(chǎn)品或服務(wù)�。通過(guò)服務(wù)標(biāo)記、商標(biāo)����、制造商或其他方式對(duì)特定商業(yè)產(chǎn)品�����、流程或服務(wù)的任何引用均不構(gòu)成或暗示美國(guó)政府對(duì)其認(rèn)可���、推薦或偏袒。參考來(lái)源:維基百科�����、CISA官網(wǎng)��、百度百科等
沃卡惠
