この記事では、Shodan のIntelligence Card Extensionについて説明します。
Shodanについて
Shodan は、インターネットに接続されたデバイス向けの世界初の検索エンジンです。Shodan は、インターネット経由の IPv4 および IPv6 アドレス空間内の IP アドレスを継続的にスキャンします。これらのスキャンは、複数のグローバル ポイント オブ プレゼンスから非連続的に実行され、スキャンされた IP アドレスでホストされているサービスの最新かつ帰属不可能なスナップショットを提供します。
Shodan は各 IP アドレスの広範囲のポートをスキャンし、各ポートからのレスポンスをさまざまなサービスの動作シグネチャと比較して評価します。 この評価の一環として、Shodan はホストがいくつかの特定の脆弱性に対して脆弱であるかどうかも評価します。Shodan は、ポート スキャンの応答をスキャン履歴の一部としてキャプチャして保存します。
Shodan のスキャン方法の詳細については、 Shodan の Web サイトをご覧ください。
この拡張機能に加えて、Shodan IoT インテリジェンスはVulnerabilityとインフラストラクチャのリストでも利用できます。
最新の Shodan 情報をライブ検索することで、IP アドレス、脆弱性、ドメイン インテリジェンス カードを拡充できます。
Recorded Future を使用するアナリストは、Recorded Future サブスクリプションの一部として、この拡張機能を通じて Shodan にアクセスできます。拡張機能に Shodan API 認証情報を設定する必要はありません。
IP アドレス カードがロードされると、拡張機能は自動的に実行されます。
IPアドレスカードの拡張
Shodan は豊富な技術情報を提供し、次のThreat Intelligenceで IP アドレス カードを充実させます。
- 国
- 組織
- オペレーティングシステム
- ISP
- 最終更新日
- 自律システム番号 (ASN)
- 既知の脆弱性(修正済みであることがわかっているため、このサイトでは「安全」である脆弱性を含む)
- 「ics」、「vpn」、「honeypot」などのデバイス使用タグ
- 開いているポート、一般的な用途 (Shodan ブックの付録 D「ポートのリスト」による)、および各ポートからの関連するスキャン レスポンス バナー データ (過去のスキャンの履歴を含む)。
- 注(1):ポート履歴が含まれているため、リストされているポートのすべてが現在開いているとは限りません。
- 注(2)「一般的な用途」は参考用であり、ポートが拡張機能に記載されている方法で使用されることを必ずしも意味するものではありません。混乱しやすいのは、ポート 80 が一般的な用途で「(HTTP、マルウェア)」として表示される場合です。これは、ポート 80 が開いているサーバーでは HTTP トラフィックが期待されることが多いことを意味しますが、特定のマルウェアも通信にポート 80 を使用することが知られています。
既知の脆弱性は、ホストのリスクタグを使用して報告されます。リスクタグは、ホストサービスが特定のCVEセットに対して脆弱であるかどうかを示します。
Recorded Futureでは、Shodan レスポンスの次の要素に基づいてピボットできます。
- AS番号
例(IP 66.175.83.156の場合):
ハニーポットとしてタグ付けされた IP (58.213.132.158) の別の例:
最後に、脆弱性 (CVE-2014-0160) がチェック済み (かつ安全) であるように見える IP (217.110.120.250) の別の例を示します。残念ながら、この IP は別の脆弱性 (CVE-2015-0204) のリスクにさらされています。
Vulnerabilityカードの拡張
Shodan 拡張機能は ExploitDB から情報を取得し、文書化されたエクスプロイトを次のように表示します。
ドメインカードの拡張
Shodan 拡張機能は、IP、場所、SSL 情報など、ドメインから収集された情報も提供します。
詳細情報:
さまざまな情報フィールドに関する詳細なドキュメントは、Shodan Web サイトにあります。