T1590.005: IP-АДРЕСИ
Зловмисники збирають список публічних IP-адрес, закріплених за організацією. Це можуть бути окремі адреси або цілі блоки (діапазони). Аналіз IP-адрес дозволяє хакеру визначити: реальний розмір компанії, її інтернет-провайдерів (ISP), географічне розташування офісів (через GeoIP) та тип хостингу (власні сервери чи хмарні рішення як AWS/Azure).
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть збирати IP-адреси жертви, які можуть бути використані під час вибору цілі. Публічні IP-адреси можуть бути виділені організаціям блоками або діапазонами послідовних адрес. Інформація про призначені IP-адреси може включати різноманітні деталі, зокрема те, які саме IP-адреси використовуються. IP-адреси також можуть дозволити зловмиснику отримати інші відомості про жертву, такі як розмір організації, фізичне розташування, інтернет-провайдер та/або де і як розміщена їхня публічна інфраструктура.
Зловмисники можуть збирати цю інформацію різними способами, наприклад, через прямі дії зі збору за допомогою Активного сканування або Фішингу для отримання інформації. Інформація про призначені IP-адреси також може бути розкрита зловмисникам через онлайн-ресурси або інші доступні набори даних (наприклад, пошук у відкритих технічних базах даних).
Збір цієї інформації може виявити можливості для інших форм розвідки (наприклад, Активне сканування або пошук на відкритих вебсайтах/доменах), створення оперативних ресурсів (придбання або компрометація інфраструктури) та/або початкового доступу (зовнішні віддалені сервіси).
Як хакери «вираховують» ваші IP-адреси?
- Реєстри RIR (Regional Internet Registries): Використання баз даних на кшталт RIPE (для Європи та України). Пошук за назвою компанії видає всі зареєстровані на неї блоки адрес та контактні дані технічних спеціалістів.
- DNS-розвідка: Перетворення доменних імен у IP-адреси. Якщо у компанії сотні піддоменів, хакер отримує сотні IP-адрес для подальшого сканування.
- Пошукові системи для пристроїв (Shodan / Censys): Ці сервіси вже просканували весь інтернет. Хакеру достатньо ввести назву компанії, щоб отримати список усіх її серверів, відкритих портів та навіть скріншоти робочих столів.
- Аналіз заголовків Email: Коли ви надсилаєте листа з внутрішнього сервера, у технічних заголовках листа (Received: from…) може «засвітитися» внутрішня IP-адреса вашої мережі.
Чому це небезпечно?
- Підготовка до DDoS: Знаючи всі ваші публічні IP, зловмисник може спрямувати атаку на всі канали зв’язку одночасно, щоб повністю паралізувати роботу.
- Пошук вразливих пристроїв: Маючи список IP, хакер запускає автоматичні сканери, які шукають старі версії ПЗ, стандартні паролі або критичні вразливості типу Log4Shell.
- Географічне націлювання: Якщо IP-адреса належить регіональному офісу, хакер може використати це для більш переконливого фішингу (“Проблеми з мережею у вашому місті”).
Як захиститися?
- Використання CDN та WAF: Сховайте свої реальні IP-адреси за сервісами типу Cloudflare або Akamai. Зловмисник бачитиме лише IP провайдера захисту.
- Регулярний аудит зовнішнього периметра: Використовуйте Shodan або Censys самі, щоб побачити, які ваші ресурси доступні всьому світу, і закрийте зайве.
- Обмеження ICMP: Забороніть відповіді на запити ping на мережевому рівні, щоб ускладнити автоматичне виявлення «живих» хостів.
- Використання VPN: Мінімізуйте кількість сервісів, доступних безпосередньо через інтернет. Все внутрішнє має бути доступне тільки через захищений тунель.