ТЕХНІЧНИЙ ОПИС

Зловмисники можуть ітеративно прощупувати інфраструктуру, використовуючи техніки перебору та обходу. Хоча ця техніка використовує методи, подібні до Brute Force, її метою є ідентифікація контенту та інфраструктури, а не пошук дійсних облікових даних. Словники, що використовуються в таких скануваннях, можуть містити загальні, часто вживані назви та розширення файлів або терміни, специфічні для конкретного програмного забезпечення. Зловмисники також можуть створювати власні, орієнтовані на конкретну ціль словники, використовуючи дані, зібрані за допомогою інших методів розвідки (наприклад, збір інформації про організацію-жертву або пошук на вебсайтах, що належать жертві).

Наприклад, зловмисники можуть використовувати інструменти для виявлення вебконтенту, такі як Dirb, DirBuster і GoBuster, а також загальні або кастомні словники для перерахування сторінок і каталогів вебсайту. Це може допомогти їм виявити старі, вразливі сторінки або приховані адміністративні портали, які можуть стати ціллю для подальших операцій (наприклад, експлуатація публічних додатків або підбір паролів).

Оскільки рішення для хмарного зберігання зазвичай використовують глобально унікальні імена, зловмисники також можуть використовувати специфічні для цілі словники та інструменти, такі як s3recon і GCPBucketBrute, для перерахування публічних і приватних «кошиків» (buckets) у хмарній інфраструктурі. Щойно об’єкти зберігання виявлені, зловмисники можуть використати дані з хмарних сховищ для доступу до цінної інформації, яка може бути викрадена або використана для підвищення привілеїв та горизонтального переміщення.

Що саме шукають зловмисники?

  • Забуті файли: index.php.old, test.sql, backup.zip. Це золота жила для хакера, бо такі файли часто містять вихідний код або дампи баз даних.
  • Панелі керування: /phpmyadmin, /vpanel, /admin_login. Навіть якщо вони захищені паролем, сам факт їх виявлення дозволяє почати атаку типу Brute Force.
  • Конфігураційні файли: .git/config, .env, web.config. Ці файли можуть містити ключі доступу до баз даних, API-токени або логіни адміністраторів.
  • Хмарні бакети (S3 Buckets): Зловмисники підбирають назви типу company-private, dev-backups-2026. Якщо бакет налаштований неправильно (публічний доступ), хакер отримує всі дані без жодного пароля.

Чому це небезпечно?

  • Підготовка до удару: Це критична фаза розвідки. Чим більше «сміття» або забутих сторінок знайде хакер, тим легше йому буде знайти точку входу.
  • Автоматизація: Сканери можуть перевіряти тисячі назв за секунду. Людина ніколи не знайде ці папки вручну, а бот — знайде.
  • Маскування: Часто такий трафік виглядає як звичайні помилки “404 Not Found” у логах сервера, на які адміністратори рідко звертають увагу.

Як захиститися?

  • Видалення зайвого: Не залишайте бекапи, тестові скрипти та тимчасові файли в публічних папках вебсервера.
  • HTTP 403 замість 404: Налаштуйте сервер так, щоб він не видавав інформацію про структуру папок.
  • Rate Limiting: Обмежуйте кількість запитів з однієї IP-адреси. Якщо хтось запитує 500 неіснуючих сторінок за хвилину — це сканування.
  • Захист хмарних сховищ: Використовуйте політики IAM та забороняйте публічний доступ (Public Access Block) до S3-бакетів на рівні всієї організації.
  • WAF (Web Application Firewall): Сучасні фаєрволи вміють розпізнавати сигнатури популярних сканерів (GoBuster тощо) і блокувати їх.