Shodan keresőmotor használata SOC-ban

Shodan Alapok

Mi is a Shodan?

A Shodan egy olyan keresőmotor, amely az interneten létező eszközöket és eszköztípusokat megtalálja. Míg a Google és más keresőmotorok csak a weboldalakat futják végig, addig a Shodan szinte mindent indexel – webkamerákat, vízkezelő létesítményeket, jachtokat, orvosi eszközöket, jelzőlámpákat, szélturbinákat, rendszámtábla-olvasókat, intelligens tévéketket, hűtőszekrényeket, stb.

Képes port szinten átvizsgálni az összes, internetre kötött eszközt, és elemezni a különféle eszközök által visszaadott “banner”-eket. Ezeket az információkat felhasználva a Shodan láthatja, hogy például milyen webszerver (és verzió) fut egy adott IP címen, vagy milyen egyéb szolgáltatások futnak rajta. Meg kell azonban jegyezni, hogy ezeket a bannereket meg lehet hamisítani oly módon, hogy azok mást mutassanak, mint ami a valóság.

August 26th, 2020

A Shodan-nak nagy jelentősége van az “Internet of Things” körüli biztonsági kutatásokban, mivel hamarosan több milliárd olyan eszköz jelenik meg az interneten, melynek speciális sebezhetőségei vannak. Ezeket bannereik alapján azonosítva javítani lehet.

Alapkeresések használata

A főoldalon található egy keresőmező, amely úgy működik, mint bármely más keresőmotor. Például az alábbi találathoz a „blackcell.hu”-ra kerestem rá.

Itt az eredmények több területből állnak, a bal oldali sávon több összesített adatot is láthatunk:

  • Total Results
  • Top Countries
  • Top services (Port-ok)
  • Top organizations (Internet szolgáltatók)

Majd a fő részben megkapjuk az eredmény teljes listáját, amely az alábbiakat tartalmazza:

  • IP cím
  • Internetszolgáltató
  • Mikor lett a bejegyzés hozzáadva az adatbázishoz
  • Az ország, amelyben található
  • És maga a banner

A keresés elvégzése után az eredményeket különféle formátumban exportálhatjuk a felső menü segítségével („Download Results” – csak bejelentkezve érhető el, ingyenes regisztráció után). Itt azoknál a kereséseknél, ahol az eredmény több, mint 200 eszközből áll, a 201. és utána lévő találatokat nem fogjuk látni. Választhatjuk a prémium fiókot is $49 egyszeri megfizetésével, mely fokozott hozzáférést tartalmaz az API-hoz, és már a keresés sincs korlátozva.

Ezután további információkért rákattinthatunk az egyik IP címre, amellyel az adott eszközhöz tartozó adatokról lehet többet megtudni:

Itt az adott eszköz oldalán az URL a keresési struktúráról a következőre változik: https://www.shodan.io/host/194.39.46.228

Baloldalon az eszköz adatai, jobb felső sarokban pedig a portok listája található. Ezt követően az egyes portok adatai és bannerei láthatóak az egyes portokhoz.

Szűrőlehetőségek használata

Mint minden keresőmotor esetében, a Shodanon is lehetőségünk van a kereséseket tovább specializálni. Az alábbi keresési szűrőket, lehet használni:

  • city: eszközök keresése egy adott városban
  • country: eszközök keresése egy adott országban
  • geo: keresés koordináták alapján
  • hostname: keresés eszköznév alapján
  • net: IP vagy /x CIDR alapú keresés
  • os: keresés az operációs rendszer alapján
  • port: keresés bizonyos nyitott portok alapján
  • before/after: egy adott időn belül keressen eredményeket

Példakeresések

Bizonyos esetekben az idézőjelek elhagyhatóak, de gyakran szükség van rájuk. Ezért javasolt, hogy mindig használjuk őket.

Keresse meg az Apache szervereket Budapesten:

  • apache city:“Budapest”

Keresse meg a Nginx szervereket Magyarországon:

  • nginx country:“HU”

Keresse meg a GWS (Google Web Server) szervereket:

  • “Server: gws” hostname:“google”

Keresse meg a Cisco eszközöket egy adott alhálózaton:

  • cisco net:“216.219.143.0/24”

Kezdésnek tehát van valamilyen alapvető keresési kifejezés, amelyet aztán további szűrők segítségével lehet tovább szűkíteni.

Lehetőségünk van szűrők kombinálására is, egyszerű felsorolás formájában. Ezt úgy is megtehetjük, hogy egy adott eredmény bal oldali oldalsávján található összesítések valamelyikére kattintunk, ezáltal szűrőként alkalmazható. Ha tehát olyan Nginx szervereket akarunk keresni Budapesten, amelyek a 8080-as porton futnak, és amelyek szintén a Tomcat-ot futtatják, akkor a következő lesz a keresés:

  • Apache city:“Budapest” port:“8080” product:“Apache Tomcat”

IBM QRadar integráció

Lehetőségünk van arra is, hogy a Sodant beintegráljuk az IBM QRadar SIEM eszközbe. Ezáltal a felhasználónak lehetősége nyílik további információk gyűjtésére a QRadar felhasználói felületén megjelenített bármely IP-címről, ha rákattint az egér jobb gombjával.

Az integrációhoz szükség van a QRadar SSH portján root hozzáféréshez. Ha elértük, meg kell keresnünk az ip_context_menu.xml fájlt, mely a /opt/qradar/conf/ip_context_menu.xml útvonalon található. Keressük meg benne a

<menuEntry name=”X-Force Exchange Lookup” url=”https://exchange.xforce.ibmcloud.com/#/ip/%IP%” />

rész, majd adjuk hozzá a

<menuEntry name=”Shodan.io Intel” url=”https://www.shodan.io/host/%IP%” />

sort, aztán mentsük el a fájlt. Utána a QRadar grafikus interfészét újra kell indítani a „systemctl restart tomcat” paranccsal. Így a változtatások élesednek, és a fenti képen látható módon érhetjük majd el.

Top