T1593.002: ПОШУКОВІ СИСТЕМИ
Зловмисники використовують пошукові системи (Google, Bing, DuckDuckGo) та спеціалізований синтаксис (Google Dorks) для збору конфіденційної інформації про ціль. Це дозволяє знаходити проіндексовані файли з паролями, конфігураційні дані серверів, відкриті бази даних або внутрішні документи, які випадково потрапили у відкритий доступ через помилки індексації або недбалість адміністраторів.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть використовувати пошукові системи для збору інформації про жертв, яка може бути використана під час вибору цілі. Пошукові сервіси зазвичай сканують онлайн-сайти для індексації контексту та можуть надавати користувачам спеціалізований синтаксис для пошуку конкретних ключових слів або певних типів контенту (наприклад, типів файлів).
Зловмисники можуть створювати різні запити до пошукових систем залежно від того, яку саме інформацію вони прагнуть зібрати. Суб’єкти загроз можуть використовувати пошукові системи для збору загальної інформації про жертв, а також використовувати спеціалізовані запити для пошуку витоків конфіденційної інформації, такої як деталі мережі або облікові дані. Інформація з цих джерел може виявити можливості для інших форм розвідки (наприклад, фішинг для отримання інформації або пошук у відкритих технічних базах даних), розгортання оперативних ресурсів (наприклад, створення або компрометація облікових записів) та/або отримання початкового доступу (наприклад, дійсні облікові записи або фішинг).
Google Dorking: Як пошуковик стає сканером Пошукові системи бачать набагато більше, ніж здається на перший погляд. Використовуючи розширені оператори, хакери перетворюють Google на інструмент пасивного пентесту.
- Пошук за типом файлів (filetype:): Зловмисники шукають filetype:env для пошуку конфігураційних файлів із паролями, filetype:log для аналізу системних журналів або filetype:xls для пошуку списків контактів.
- Пошук у заголовках та URL (intitle:, inurl:): Дозволяє знаходити сторінки входу, які не мають публічних посилань, наприклад inurl:/admin/login або intitle:“Index of /”.
- Обмеження доменом (site:): Хакер фокусує пошук на конкретній організації, наприклад site:target.ua “пароль”.
Сценарії розвідки:
- «Витік секретів розробки»: Запит filetype:env “DB_PASSWORD” може вивести на сторінки, де розробники випадково залишили файли налаштувань з доступами до баз даних.
- «Відкриті бекапи»: Запит intitle:“index of” “backup.sql” знаходить сервери, де ввімкнено перегляд папок, що дозволяє завантажити копію бази даних одним кліком.
- «Пошук камер та IoT»: Багато пристроїв мають специфічні назви сторінок. Запит intitle:“webcamXP 5” знаходить тисячі відкритих камер спостереження.
Як захиститися?
- Файл robots.txt: Налаштуйте його так, щоб заборонити індексацію чутливих папок (/admin, /backup, /config).
- Google Search Console: Регулярно перевіряйте, які сторінки вашого сайту потрапили в індекс. Якщо там є технічні файли — негайно видаляйте їх через інструмент “Removals”.
- Жодної безпеки через невідомість: Навіть якщо на сторінку немає посилань, вона повинна бути захищена паролем. Якщо Google її знайшов — її знайде і хакер.
- Видалення метаданих: Перед завантаженням PDF або Word документів на сайт, очищуйте їх від метаданих (імена авторів, версії ПЗ), які можуть видати структуру вашої мережі.