隨著技術的進步和社會變得更加互聯,您的數字設備位于全頻譜搜索引擎上的機會急劇增加。資產和設備所有者可能會選擇故意將其設備暴露給公共互聯網,但有些人沒有意識到這種潛力,并且在不知不覺中面臨更高的網絡攻擊風險。查詢連接到 Internet 的資產的能力對于管理攻擊面至關重要,Shodan.io 可以支持這些工作。
什么是SHODAN
Shodan(www.shodan.io)是一個基于網絡的互聯網連接設備搜索平臺。該工具不僅可以用于識別連接互聯網的計算機和物聯網/工業物聯網(IoT/IIoT),還可以用于識別互聯網連接的工業控制系統(ICS)和平臺。此外,可以從搜索結果中收集潛在的漏洞利用、默認密碼和其他攻擊元素。與漏洞工具、日志記錄聚合器和票務系統的集成使Shodan 能夠無縫集成到組織的基礎架構中。
Shodan是一個搜索引擎,允許用戶使用各種過濾器搜索連接到Internet的各種類型的服務器(網絡攝像頭、路由器、服務器等)。有些人還把它描述為服務橫幅的搜索引擎,這是服務器發回給客戶端的元數據。這可以是有關服務器軟件的信息、服務支持的選項、歡迎消息或客戶端在與服務器交互之前可以找到的任何其他信息。
Shodan 主要在Web服務器(HTTP/HTTPS–端口80、8080、443、8443)以及FTP(端口 21)、SSH(端口 22)、Telnet(端口 23)、SNMP(端口 161)、IMAP上收集數據(端口 143 或(加密)993)、SMTP(端口 25)、SIP(端口 5060)、和實時流協議(RTSP,端口 554)。后者可用于訪問網絡攝像頭及其視頻流。
Shodan 由計算機程序員John Matherly于2009年推出,他在 2003 年構想了搜索連接到 Internet 的設備的想法。Shodan 這個名字是對來自System Shock視頻游戲系列的角色SHODAN的引用。
SHODAN的潛在用例
Shodan的一個關鍵功能是它被用作攻擊面減少工具,能夠讀取任意數量的互聯網連接目標,包括ICS和IIoT。通過拉回連接互聯網設備的橫幅,Shodan可以找到搜索過濾器的任意組合,以縮小搜索結果的范圍,以專門針對可能易受攻擊的設備。以下是一些用于減少攻擊面的常見用例搜索。
2015 年 12 月,包括Ars Technica在內的各種新聞媒體報道稱,一名安全研究人員使用 Shodan 識別了數千個系統上可訪問的MongoDB數據庫,其中一個由macOS安全工具MacKeeper的開發商 Kromtech 托管。
2021 年 11 月,PCMagazine 描述了AT&T如何使用 Shodan檢測感染惡意軟件的物聯網設備。
評估公共資產風險狀況
每個發現都表示一個不同的系統,并且每個系統可能具有許多在不同端口上運行的服務條目。對于公開的每個系統、服務和端口,請詢問以下問題:
1、 為什么需要運行此系統和服務?默認情況下,設備通常會啟用在正常操作中不需要的功能。
2、 需要將此系統、服務和端口公開給互聯網?管理工具可能無意中配置為在可訪問 Internet的界面上進行連接。
3、 此系統、服務或端口是否可以駐留在 VPN 后面? VPN添加了強大的身份驗證機制,并刪除了指向潛在對手的直接鏈接。
4、 該服務能否提供強大的多因素身份驗證?請與您的供應商聯系以探索選項。
5、 上次完全更新此系統或服務是什么時候?對于系統 未更新的原因,可能有有效的業務理由; 否則,請遵循 更改管理流程并按計劃更新 系統。
6、 此系統或服務上一次強化是什么時候?請與您的供應商聯系,以獲取最佳實踐和支持。
有用的SHODAN搜索
1、 查找互聯網可訪問的SQL 服務器:產品:"SQL" 端口:"1433"
2、 查找可訪問互聯網的Windows 計算機,其中SMB 暴露在互聯網上:os:"windows" 端口:"445"
3、 查找可訪問互聯網的Windows XP 設備: os:"windowsxp"
4、 查找互聯網可訪問的OPC UA 發現服務器:產品:"OPC" 端口:"4840"
5、 找到默認密碼:"密碼是"或"默認密碼" -"必需"
更多信息
Shodan是一個非常強大的工具,具有廣泛的搜索功能。根據所需的使用類型,有幾個可用的許可選項。有關 Shodan.io 的詳細信息或獲取進一步的搜索指南,請訪問https://www.shodan.io。
用法該網站
掃描互聯網以查找可公開訪問的設備。Shodan 目前向沒有賬戶的用戶返回10 個結果,向有賬戶的用戶返回 50 個結果。如果用戶想取消限制,需要提供理由并支付費用。Shodan 的主要用戶是網絡安全專業人士、研究人員和執法機構。雖然網絡犯罪分子也可以使用該網站,但有些人可以訪問可以在不被發現的情況下完成相同任務的僵尸網絡。
注:美國政府聲稱不認可任何商業產品或服務。通過服務標記、商標、制造商或其他方式對特定商業產品、流程或服務的任何引用均不構成或暗示美國政府對其認可、推薦或偏袒。參考來源:維基百科、CISA官網、百度百科等