T1596.005: СКАНУВАННЯ БАЗ ДАНИХ
Зловмисники використовують результати глобальних інтернет-сканувань, зібрані сторонніми сервісами (наприклад, Shodan, Censys, BinaryEdge). Ці бази даних містять готову інформацію про активні IP-адреси, відкриті порти, версії серверного ПЗ (banners) та наявні вразливості. Це дозволяє агресору проводити розвідку, не вступаючи в прямий контакт з мережею жертви, що робить атаку повністю невидимою для систем виявлення вторгнень (IDS).
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть шукати у публічних базах даних сканування інформацію про жертв, яка може бути використана під час вибору цілі. Різноманітні онлайн-сервіси постійно публікують результати інтернет-сканувань/опитувань, часто збираючи таку інформацію, як активні IP-адреси, імена хостів, відкриті порти, сертифікати та навіть банери серверів.
Зловмисники можуть шукати в базах даних сканування для збору дієвої інформації. Суб’єкти загроз можуть використовувати онлайн-ресурси та інструменти пошуку для збору інформації з цих сервісів. Зловмисники можуть шукати інформацію про вже ідентифіковані цілі або використовувати ці набори даних для пошуку можливостей для успішних зламів. Інформація з цих джерел може виявити можливості для інших форм розвідки (наприклад, активне сканування або пошук відкритих вебсайтів/доменів), розгортання оперативних ресурсів (наприклад, розробка або отримання можливостей) та/або отримання початкового доступу (наприклад, зовнішні сервіси віддаленого доступу або експлуатація публічних застосунків).
Бази сканування: «Google для хакерів»
- Використання баз даних сканування — це найефективніший спосіб пасивної розвідки. Хакеру не потрібно запускати nmap — хтось інший вже зробив це за нього і виклав результати в зручному інтерфейсі.
- Аналіз банерів (Banner Grabbing): Сканери зчитують відповіді серверів (наприклад, Apache/2.4.41 (Ubuntu)). Знаючи точну версію, зловмисник просто шукає відповідний експлойт у базі Exploit-DB.
- Пошук за тегами (Tagging): Бази даних автоматично тегують пристрої: «Industrial Control System», «Webcam», «Database». Це дозволяє хакерам вибирати цілі за типом обладнання (наприклад, шукати вразливі контролери в українських електромережах).
- Географічний та організаційний фільтр: Зловмисник може знайти всі пристрої, що належать конкретній компанії, просто ввівши її назву або діапазон IP-адрес (ASN).
Сценарії розвідки:
- «Пошук вразливих RDP»: Хакер використовує запит port:3389 country:UA в Shodan, щоб знайти всі сервери з відкритим віддаленим робочим столом в Україні, а потім фільтрує їх за наявністю вразливості BlueKeep.
- «Витік баз даних»: Зловмисники шукають відкриті порти 27017 (MongoDB) або 9200 (Elasticsearch), які часто залишаються без пароля. Бази сканування показують навіть назви таблиць та обсяг даних у них.
- «Виявлення застарілого ПЗ»: Через Censys хакер знаходить сервери, що використовують застарілі TLS-протоколи або сертифікати, що вказує на відсутність регулярного адміністрування та оновлень.
Як захиститися?
- Мінімізація публічних сервісів: Не виставляйте в інтернет нічого, що не повинно бути публічним. Використовуйте VPN для доступу до внутрішніх ресурсів.
- Зміна стандартних банерів: Налаштуйте ваші сервери так, щоб вони не видавали свою версію та назву ОС у HTTP-заголовках або привітанні сервісу (наприклад, змініть ServerTokens Prod на ServerTokens Minimal в Apache).
- Self-Scanning: Регулярно перевіряйте власні IP-адреси в Shodan та Censys. Якщо ви бачите там те, чого не очікували — терміново закривайте порт або обмежуйте доступ за IP.