Shodan 활용하기

Shodan IoT 보안취약점 찾기

CCTV

• 과거의 CCTV는 네트워크에 연결되지 않아 온라인으로 해킹 불가능
• 하지만 최근 네트워크 카메라를 이용하여 CCTV를 대체 사이버 공격에 노출될 가능성이 증가
• 사실상 IPCAM 과 CCTV 경계가 모호

CCTV 키워드

• server: “i-Catcher Console” – IP 카메라를 이용한 CCTV체계

• 해당 체계를 이용하는 IP가 31개가 발견됨

• 일반적으로 로그인을 해야하지만 이렇게 자로 접근 할 수 있는 경우도 존재함

• 200 ok dvr port:”81″ – http에서 접근할 수 있는 DVR

Webcam, IPCAM

• Webcam: PC에 연결하는 화상 회의 및 화상 채팅용 비디오 카메라
• 웹캡에서 USB, 이더넷, 와이파이, 컴퓨터 네트워크, 인터넷 등을 통해 실시간으로 영상을 스트리밍
• IP Camera: 네트워크 연결이되어 저장 및 제어가 가능한 카메라를 통칭

• title:"Network Camera" country:KR

• 바로 로그인 페이지로 이동
• 보안이 취약한 계정이라면 쉽게 해킹 가능

추가 키워드

• has_screenshot:true IP Webcam - 스크린샷을 사용하는 웹캠 검색
• server: webcampxp – webcamXP 서버를 사용하는 웹캠
• server: “webcam 7” – webcam 7 서버를 사용하는 웹캠
• title:”blue iris remote view” –Blue Iris  웹캠 원격 관리 시스템

NAS

• 네트워크 결합 스토리지는 여러 사용자가 Wi-Fi 또는 이더넷 케이블을 통해 TCP/IP 네트워크로 파일을 저장하고 공유할 수 있는 중앙 집중식 파일 서버
• 개인, 소규모 NAS 구축 사례가 늘어나면서 보안 취약점도 노출됨

• title: NAS → NAS 로그인 페이지 검색

• title:HFS → http file server 파일전송 서버

• 보안이 안된 서버는 쉽게 접근 가능

Network Printer

• 일반적인 프린터 처럼 한대의 컴퓨터에 물리적으로 연결된 프린터가 아니라 네트워크에 연결되어 해당 로컬 네트워크에 연결된 모든 사용자들이 같이 사용할 수 있도록 설정된 프린터
• 회사에서 가장 취약한 부분으로 일반적으로 원칙적으로는 분리해야하는데 프린터는 망분리보단 공용으로 많이 함
• 내부망과 외부망의 연결점으로 해커들의 주요 공격점

출력문서 확인가능(대외비 등등)

• 네트워크 프린터가 주로 사용하는 포트
• 특히 9100이 RAW Data를 통신하기 때문에 가장 보안에 취약함

• port:9100 pjl country:"KR”
• 인쇄물 탈취, 무단출력 공격시도를 할 수 있음

추가 키워드

• printer – 프린터
• “HP-ChaiSOE” port:”80″ –HTTP로 접근할수 있는 레이저 프린터.
• title:”syncthru web service” –오래된 삼성 프린터.
• “Location: /main/main.html” debut –Brother printers의 관리 페이지.
• port:161 hp – 161번 포트(재부팅 명령)가 열려있는 HP 프린터.

산업제어시스템(ICS)

• 산업 시설이나 국가 기반 시설을 제어하기 위한 대현 IoT 시스템
• 과거에는 인트라넷을 사용하기에 해킹 위협이 없었지만 네트워크 기술의 발달로 인하여 외부 연결이 생산성 증대를 이루어 주는 경우가 많아져 네트워크가 필수

• ICS 에서 주로 사용하는 특화 프로토콜

• port:502
• 관련 포트가 모두 오픈되어 있음

이외에도 plc, siemens 등 SCADA에서도 많이 사용하는 장비, 모듈을 키워드로 검색을하면 보안이 취약한 ICS에 쉽게 접근이 가능함

 

Reference

https://koreascience.kr/article/CFKO201916842431012.pdf

http://forensic-artifact.com/osint-analysis/sho05

https://monktech.tistory.com/31