随着技术的进步和社会变得更加互联,您的数字设备位于全频谱搜索引擎上的机会急剧增加。资产和设备所有者可能会选择故意将其设备暴露给公共互联网,但有些人没有意识到这种潜力,并且在不知不觉中面临更高的网络攻击风险。查询连接到 Internet 的资产的能力对于管理攻击面至关重要,Shodan.io 可以支持这些工作。
什么是SHODAN
Shodan(www.shodan.io)是一个基于网络的互联网连接设备搜索平台。该工具不仅可以用于识别连接互联网的计算机和物联网/工业物联网(IoT/IIoT),还可以用于识别互联网连接的工业控制系统(ICS)和平台。此外,可以从搜索结果中收集潜在的漏洞利用、默认密码和其他攻击元素。与漏洞工具、日志记录聚合器和票务系统的集成使Shodan 能够无缝集成到组织的基础架构中。
Shodan是一个搜索引擎,允许用户使用各种过滤器搜索连接到Internet的各种类型的服务器(网络摄像头、路由器、服务器等)。有些人还把它描述为服务横幅的搜索引擎,这是服务器发回给客户端的元数据。这可以是有关服务器软件的信息、服务支持的选项、欢迎消息或客户端在与服务器交互之前可以找到的任何其他信息。
Shodan 主要在 Web 服务器(HTTP/HTTPS–端口 80、8080、443、8443)以及FTP(端口 21)、SSH(端口 22)、Telnet(端口 23)、SNMP(端口 161)、IMAP上收集数据(端口 143 或(加密)993)、SMTP(端口 25)、SIP(端口 5060)、和实时流协议(RTSP,端口 554)。后者可用于访问网络摄像头及其视频流。
Shodan 由计算机程序员John Matherly 于 2009 年推出,他在 2003 年构想了搜索连接到 Internet 的设备的想法。Shodan 这个名字是对来自System Shock视频游戏系列的角色SHODAN的引用。
SHODAN的潜在用例
Shodan的一个关键功能是它被用作攻击面减少工具,能够读取任意数量的互联网连接目标,包括ICS和IIoT。通过拉回连接互联网设备的横幅,Shodan可以找到搜索过滤器的任意组合,以缩小搜索结果的范围,以专门针对可能易受攻击的设备。以下是一些用于减少攻击面的常见用例搜索。
2015 年 12 月,包括Ars Technica在内的各种新闻媒体报道称,一名安全研究人员使用 Shodan 识别了数千个系统上可访问的MongoDB数据库,其中一个由macOS安全工具MacKeeper的开发商 Kromtech 托管。
2021 年 11 月,PCMagazine 描述了AT&T如何使用 Shodan检测感染恶意软件的物联网设备。
评估公共资产风险状况
每个发现都表示一个不同的系统,并且每个系统可能具有许多在不同端口上运行的服务条目。对于公开的每个系统、服务和端口,请询问以下问题:
1、 为什么需要运行此系统和服务?默认情况下,设备通常会启用在正常操作中不需要的功能。
2、 需要将此系统、服务和端口公开给互联网?管理工具可能无意中配置为在可访问 Internet的界面上进行连接。
3、 此系统、服务或端口是否可以驻留在 VPN 后面? VPN添加了强大的身份验证机制,并删除了指向潜在对手的直接链接。
4、 该服务能否提供强大的多因素身份验证?请与您的供应商联系以探索选项。
5、 上次完全更新此系统或服务是什么时候?对于系统 未更新的原因,可能有有效的业务理由; 否则,请遵循 更改管理流程并按计划更新 系统。
6、 此系统或服务上一次强化是什么时候?请与您的供应商联系,以获取最佳实践和支持。
有用的SHODAN 搜索
1、 查找互联网可访问的SQL 服务器:产品:"SQL" 端口:"1433"
2、 查找可访问互联网的Windows 计算机,其中SMB 暴露在互联网上:os:"windows" 端口:"445"
3、 查找可访问互联网的Windows XP 设备: os:"windowsxp"
4、 查找互联网可访问的OPC UA 发现服务器:产品:"OPC" 端口:"4840"
5、 找到默认密码:"密码是"或"默认密码" -"必需"
更多信息
Shodan是一个非常强大的工具,具有广泛的搜索功能。根据所需的使用类型,有几个可用的许可选项。有关 Shodan.io 的详细信息或获取进一步的搜索指南,请访问https://www.shodan.io。
用法该网站
扫描互联网以查找可公开访问的设备。Shodan 目前向没有账户的用户返回10 个结果,向有账户的用户返回 50 个结果。如果用户想取消限制,需要提供理由并支付费用。Shodan 的主要用户是网络安全专业人士、研究人员和执法机构。虽然网络犯罪分子也可以使用该网站,但有些人可以访问可以在不被发现的情况下完成相同任务的僵尸网络。
注:美国政府声称不认可任何商业产品或服务。通过服务标记、商标、制造商或其他方式对特定商业产品、流程或服务的任何引用均不构成或暗示美国政府对其认可、推荐或偏袒。参考来源:维基百科、CISA官网、百度百科等