Как сканировать открытые базы данных

от

«Большинство думает, что сканирование — это когда к тебе стучатся в порты. На деле, это давно устаревший подход. Твоя сеть уже отсканирована тысячами раз, и результаты лежат в публичном доступе. Современный злоумышленник не тратит время на «пинг» — он открывает специальный поисковик и за пару минут получает карту твоей инфраструктуры, со всеми версиями софта и конфигурационными косяками. Пассивная разведка через открытые базы данных — это новый стандарт, и защищаться от него нужно совершенно иначе.»

Сканирование открытых технических баз данных

Пассивная разведка через публичные источники информации.

Детальную карту IT-инфраструктуры организации можно получить, не отправив ни одного пакета в её сеть. Открытые базы данных сканирования — это инструмент, превращающий пассивную разведку в основу для целевых атак. Различные онлайн-сервисы постоянно сканируют интернет, собирая и публикуя информацию об активных хостах, открытых портах, сертификатах и конфигурациях. Эти данные становятся публичным достоянием, доступным как исследователям, так и злоумышленникам.

Что содержат базы данных сканирования

Цифровые отпечатки вашей инфраструктуры.

Это не случайные данные, а систематизированные сведения, раскрывающие архитектуру сети. Информация структурирована и пригодна для автоматического анализа.

Ключевые типы информации

  • Активные IP-адреса и диапазоны — полная карта сетевого присутствия организации.
  • Открытые порты и сервисы — точный перечень точек входа, от веб-серверов до удалённого администрирования.
  • SSL/TLS сертификаты — доменные имена, наименования организаций, сроки действия, часто — внутренние имена хостов.
  • Баннеры серверов — точные версии операционных систем, веб-серверов (Apache, Nginx), систем управления (WordPress, 1C-Битрикс) и другого ПО.
  • Геолокационные данные — предполагаемое физическое расположение серверов на основе данных RIPE и других реестров.
  • Заголовки HTTP-ответов — раскрывают используемые технологии (X-Powered-By), настройки безопасности (CSP, HSTS) или их отсутствие.

Тактика использования злоумышленниками

От разведки до успешной атаки.

Этот метод позволяет проводить разведку без прямого взаимодействия с целью, что практически исключает риск обнаружения системами IDS/IPS. Работа с базами не оставляет следов в логах целевой сети.

Целевой поиск

Атакующий ищет информацию по конкретным идентификаторам: доменному имени, названию организации в SSL-сертификате, диапазону IP-адресов, известному сетевому оборудованию (например, по баннеру «MikroTik RouterOS»). Это позволяет построить полный граф связанных активов, включая забытые тестовые и резервные серверы.

Обнаружение возможностей

С помощью сложных запросов злоумышленники выискивают уязвимые системы в масштабах всей сети. Примеры запросов: поиск серверов с устаревшей версией Apache httpd 2.4.49 (уязвима к CVE-2021-41773), систем на Windows с открытым портом 3389 (RDP) без требования Network Level Authentication, или конкретных версий CMS с известными уязвимостями.

Подготовка к атаке

Собранная структурированная информация используется для:

  • Прицельного активного сканирования — вместо полного перебора портов злоумышленник точечно проверяет выявленные сервисы на конкретные уязвимости, что быстрее и незаметнее.
  • Подбора эксплойтов — зная точную версию ПО, можно подобрать или доработать работающий эксплойт, увеличивая шансы на успешное проникновение.
  • Социальной инженерии — информация о внутренних доменах и названиях серверов из сертификатов используется для фишинговых атак, выглядещих более достоверно.

Получение начального доступа

Обнаруженные уязвимости эксплуатируются для получения доступа через внешние сервисы (веб-приложение, RDP, SSH) или для установки вредоносного ПО.

Реальный пример: FOFA и аналоги

Популярные инструменты для пассивной разведки.

Киберпреступные группировки и исследователи активно используют специализированные поисковые системы по интернет-активам. Наряду с известным Shodan, серьёзную популярность приобрёл китайский сервис FOFA. Он отличается глубиной индексации, особенно в сегментах азиатского интернета, и мощным языком запросов.

Ключевые возможности таких систем

  • Расширенный поиск по полям: домен, IP, заголовок, тело ответа, сертификат.
  • Гибкая фильтрация по странам, городам, интернет-провайдерам.
  • Поиск по цифровым отпечаткам (fingerprint) конкретных устройств (камер, роутеров, СХД) и ПО.
  • API для автоматизации, позволяющий интегрировать поиск в скрипты злоумышленника.
Сервис Особенности Типичное использование
FOFA Мощный язык запросов, глубокая индексация в Азии, детальный парсинг сертификатов. Целевая разведка инфраструктуры, поиск активов по косвенным признакам (например, по фрагменту внутреннего домена из сертификата).
Shodan Первый и самый известный сервис, обширная база, множество готовых фильтров. Широкий поиск уязвимых устройств (IoT, промышленные системы), оценка масштабов уязвимости.
Censys Акцент на безопасности и шифровании, детальная информация о TLS-конфигурациях. Анализ криптографической стойкости инфраструктуры, поиск самоподписанных или просроченных сертификатов.
ZoomEye Другой китайский сервис, схожий с FOFA, часто используемый в связке для получения более полной картины. Дублирующий поиск для верификации данных, поиск по альтернативным отпечаткам.

Меры защиты от пассивной разведки

Как минимизировать цифровой след в открытых базах.

Полностью скрыться невозможно, но можно существенно сократить объём полезной информации и повысить «шумовой» фон, затруднив автоматический анализ.

Технические меры

  • Минимизация баннеров. Отключите или измените информативные баннеры сервисов (SSH, FTP, SMTP, HTTP-заголовки типа `Server` и `X-Powered-By`). Версия ПО не должна раскрываться без необходимости.
  • Аккуратная настройка SSL/TLS. Уберите из сертификатов для публичных сервисов внутренние доменные имена (SAN), тестовые названия. Используйте отдельные сертификаты для внешних и внутренних служб.
  • Строгая сегментация сети. Сервисы, не предназначенные для публичного доступа (базы данных, системы управления, интерфейсы оборудования), не должны иметь прямой маршрутизации из интернета. Используйте VPN или jump-хосты.
  • Использование CDN и обратных прокси. Это скрывает реальные IP-адреса ваших origin-серверов, объединяя трафик многих клиентов под адресами CDN-провайдера.
  • Внедрение WAF. Современные WAF могут блокировать не только атаки, но и сканирование по сигнатурам, скрывая реальные баннеры и отвечая ложной информацией сканирующим ботам.

Организационные и проактивные меры

  • Регулярный мониторинг своего следа. Периодически (ежеквартально) проводите поиск своих IP-адресов, доменов, названия компании в публичных базах данных (Shodan, Censys, FOFA). Это помогает обнаружить «утерянные» или неучтённые активы.
  • Политика минимального раскрытия информации. Запретите в конфигурациях и при разработке выводить отладочную информацию, версии компонентов и внутренние пути в публичные ответы.
  • Опережающее обновление и исправление. Поскольку ваши версии ПО потенциально известны, критически важно применять обновления безопасности быстрее, чем злоумышленник успеет их обработать.
  • Включение в тесты на проникновение. Обязательный этап пентеста — оценка уязвимости к пассивной разведке: что можно узнать о компании из открытых источников, и как это можно использовать.

Ключевой вывод

Открытые базы данных сканирования нивелируют само понятие «скрытности» сети. Ваша инфраструктура уже видима, и вопрос лишь в том, насколько представленные о ней данные полезны для атакующего. Борьба с этой угрозой заключается не в попытке «спрятаться», а в активном управлении своим цифровым следом: минимизации полезной информации, внесении помех в её автоматический анализ и постоянном мониторинге собственной видимости извне. В современных реалиях безопасность начинается с проверки того, что о вас уже знают.

Загрузка…

Оставьте комментарий