Shodan、FOFA、ZoomEyeのようなメタデータ検索エンジンは、一般にアクセス可能なデバイスやサービスをインターネット上でスキャンする特殊なツールである。Googleのようにウェブサイトをインデックス化する代わりに、これらのプラットフォームは技術的な詳細、いわゆる メタデータ-を収集し、カタログ化する。
攻撃者はこのメタデータを使って、設定ミスのあるルーターやウェブカメラ、古いソフトウェアを実行しているサーバーなど、脆弱性のあるシステムを特定する。こうして攻撃対象リストを作成するのだ。
初段:モノのインターネットのための検索エンジン
Shodanは、インターネットに接続されたデバイス(サーバー、ルーター、ウェブカメラなど)をスキャンするメタデータ検索エンジンです。オープンポート、SSL証明書、バナーなどの情報を収集する。ユーザーは、組織、国、サービスでフィルタリングして、公開されているシステムを見つけることができる。また、SSLサブジェクトやホスト名などのファセットを使って、より深く掘り下げることができる。
初段の最大の特徴:
- デバイスの列挙:Shodan は、ウェブカメラ、ルーター、産業用制御システム(ICS)、サーバーなど、一般に公開されているデバイスをスキャンします。
- フィルタリングとクエリ:フィルター(例:"port:443"、"country:US"、"org:SomeISP")を使って検索を絞り込み、特定のデバイスやサービスを見つけることができます。
- メタデータの洞察:Shodanは様々なポートからバナーを取得し、サーバーのバージョン、潜在的な脆弱性、その他の詳細を表示します。
FOFA:すべてを予見し、見つける
FOFAは、初段に似た中国開発のインターネット資産検索エンジンである。オンラインで公開されているデバイスやサービスのインデックスを作成し、高度なクエリをサポートし、フィンガープリンティング技術を重視している。多くの場合、脆弱性への対応が早く、脆弱性に対して高速な結果を提供する。
FOFAの最も価値ある特徴
- 資産発見:FOFAは複数のソースからデータを収集し、さまざまなプロトコルやポートをスキャンして、接続されているデバイスやアプリケーションをカタログ化する。
- 柔軟な構文検索:初段と同様、FOFAも高度な検索構文をサポートしている(例えば、"protocol==https"、"ip==123.123.123"、"body=='login'")。
- 広範なフィンガープリンティング:このサービスは「フィンガープリンティング」技術を重視しており、固有の署名によってソフトウェアとフレームワークを識別する。
初段 vs FOFA
どちらのプラットフォームも露出したシステムを特定するのに役立つが、構文や対象範囲が異なる。FOFAがShodanが見逃したデバイスを発見することもあれば、その逆もある。セキュリティ・チームも攻撃者も同様に、両方を使用し、データを相関させることで、露出した攻撃対象領域の全体像を把握することができる。
両者の比較はこうだ:
攻撃者が検索エンジンを使って標的を特定する方法
アタッカー Black Bastaのような)攻撃者は、ShodanやFOFAからのデータのスクレイピングを自動化し、露出したデバイスに関するメタデータを抽出し、その結果をダウンロード可能なアーカイブに保存して、さらに使用することから始める。
次に、別の中国語検索エンジンであるZoomEyeを使用して、これらのターゲットを地域別にセグメント化する。ShodanやFOFAとは異なり、ZoomEyeはアプリケーションレイヤーのより深い部分までスキャンし、独自のフィンガープリント機能を活用することで、攻撃者は複数の国にまたがるJenkinsサーバーのようなテクノロジーをより正確に特定することができる。
攻撃者がターゲットを特定した後に行うこと
露出したインフラをマッピングした後、攻撃者は偵察にとどまらず、積極的な悪用に素早く移行する。
Black Basta ようなグループは、これを明確に示している。脆弱なターゲットのリストを作ると、彼らは2つの主要な戦略を使って弱点を探り始める:
- クレデンシャルベースのブルートフォース攻撃
- CVEに基づく悪用
デフォルトまたは再利用された認証情報を使用したブルートフォース攻撃
最も一般的なフォローアップ戦術の1つは、クレデンシャルベースのブルートフォースです。たとえば、Black Basta は、Microsoft RDWeb、Palo Alto GlobalProtect VPN、Citrix NetScaler Gatewayなど、さまざまな技術のログインポータルを標的にしていました。
彼らのアプローチでは、何百ものエンドポイントを採取し、次のようなツールを使用した。 Brute Ratel のようなツールを使って、デフォルトの認証情報、システム間で再利用されるパスワード、または以前に流出した組み合わせを使ったログイン試行を自動化する。これらの試行は多くの場合スクリプト化されており、ユーザー名とパスワードはセミコロンで区切られている。
Black Bastaテクニックの例:
- RDWeb ブルートフォース: Black Basta 、何百ものMicrosoft Remote Desktop Web Access (RDWeb) エンドポイントを採取し、ログインを試みました。
- GlobalProtectポータル(VPN):また、パロアルトのGlobalProtect VPNポータルも広範囲に狙われていた。
- Citrixポータル:Citrix NetScaler Gatewayインスタンスでクレデンシャルスタッフィングを試みた。
このようなポータルはMFAのような追加的な保護なしに頻繁に公開され、ユーザーはパスワードを再利用することが多いため、攻撃者は最小限の努力でアクセスすることができる振る舞い
CVEに基づく悪用
同時に、攻撃者は既知の脆弱性を利用して、認証を完全にバイパスする。
Jenkinsの場合、Black Basta 以下を悪用した 。 CVE-2024-23897Jenkinsの場合、Black BastaはCVE-2024-23897を悪用しました。これには、/etc/shadowのような機密ファイルが含まれ、ハッシュ化された認証情報を含み、完全な侵害につながる可能性があります。
攻撃者は、ShodanとFOFAからのメタデータを使用して、パッチが適用されていないJenkinsインスタンスを特定し、最初のアクセスプレイブックの一部として自動化されたエクスプロイトを開始します。
このようなCVE主導の攻撃は特に危険である:
- 多くの場合、資格は必要ない。
- 搾取は素早く、静かに行われる。
- 特権データや機密データへの直接アクセスを提供する。
Vectra AIが攻撃チェーンを破壊する方法
ShodanやFOFAを使った自動偵察から、ブルートフォース攻撃やCVE悪用に至るまで、私たちがこれまで取り上げてきたすべてのことは、攻撃者がいかに迅速に、公開されたインフラを能動的な侵入に変えることができるかを証明しています。Vectra AIが違いをもたらすのはその点です。Vectra AIプラットフォームは、攻撃者が侵入を成功させる前に、侵害の兆候についてお客様の環境を継続的に監視します。
RDWeb、VPNポータル、Citrix、Jenkinsなど、敵が盗んだり推測した認証情報をテストし始めると、Vectra 次のような異常を検出します:
- ログインに何度も失敗する
- 異常な口座の動き
- 予期せぬ横方向の動き
- 特権昇格の試み
要するに、初段とFOFAは世間に露出していることを教えてくれるが、Vectra AIは内部で何が起きているかを教えてくれる。これは、Black Bastaような攻撃が本格的な侵害にエスカレートする前に、チームをシャットダウンする力を与えます。
Vectra AIプラットフォームについてもっと知りたいですか?ご連絡いただくか、デモをリクエストしてください!
---