우크라이나를 스캔했습니다

지난 XNUMX월, 오스트리아의 Christian Haschek은 자신의 블로그에 다음과 같은 흥미로운 기사를 게재했습니다. "오스트리아 전체를 스캔했습니다". 물론 이 연구가 반복된다면 어떤 일이 일어날지 관심이 생겼습니다. 하지만 우크라이나에서는요. 몇 주 동안 XNUMX시간 내내 정보를 수집하고, 기사를 준비하는 데 며칠이 더 걸렸으며, 이 연구 동안 우리 사회의 다양한 대표자들과 대화를 나눈 후 명확히 하고 더 많은 정보를 알아냈습니다. 컷 아래에 제발...

TL; DR

정보를 수집하는 데 특별한 도구는 사용되지 않았습니다(몇몇 사람들은 연구를 더욱 철저하고 유익하게 만들기 위해 동일한 OpenVAS를 사용하도록 조언했지만). 우크라이나와 관련된 IP의 보안(아래에서 결정된 방법에 대한 자세한 내용)으로 인해 상황은 상당히 나쁩니다(오스트리아에서 일어나는 것보다 확실히 더 나쁩니다). 발견된 취약한 서버를 악용하려는 시도나 계획은 없습니다.

우선, 특정 국가에 속한 모든 IP 주소를 어떻게 얻을 수 있습니까?

실제로는 매우 간단합니다. IP 주소는 국가 자체에서 생성되는 것이 아니라 할당됩니다. 따라서 모든 국가와 해당 국가에 속한 모든 IP의 목록(공개)이 있습니다.

누구나 할 수 있습니다 다운로드 해그런 다음 grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv를 필터링합니다.

Christian이 만든 간단한 스크립트를 사용하면 목록을 보다 사용하기 쉬운 형식으로 가져올 수 있습니다.

우크라이나는 거의 오스트리아만큼 많은 IPv4 주소를 보유하고 있으며, 정확히 11만 11개 이상입니다(비교를 위해 오스트리아는 640개 보유).

IP 주소를 직접 가지고 놀고 싶지 않다면(그러면 안 됩니다!) 서비스를 사용할 수 있습니다. Shodan.io.

우크라이나에 인터넷에 직접 액세스할 수 있는 패치되지 않은 Windows 시스템이 있습니까?

물론, 의식이 있는 우크라이나인 중 단 한 명도 자신의 컴퓨터에 대한 그러한 접근을 열지는 않을 것입니다. 아니면 그럴 것인가?

masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l

네트워크에 직접 액세스할 수 있는 5669개의 Windows 시스템이 발견되었습니다(오스트리아에는 1273개만 있지만 그 수가 많습니다).

이런. 2017년부터 알려진 ETHERNALBLUE 익스플로잇을 사용하여 공격할 수 있는 것이 있습니까? 오스트리아에는 그런 차가 한 대도 없었고 우크라이나에서도 발견되지 않기를 바랐습니다. 불행히도 그것은 소용이 없습니다. 우리는 이 "구멍"을 스스로 막지 못한 198개의 IP 주소를 발견했습니다.

DNS, DDoS, 그리고 토끼굴의 깊이

Windows에 대해서는 충분합니다. 개방형 확인자이며 DDoS 공격에 사용할 수 있는 DNS 서버에 대해 살펴보겠습니다.

그것은 다음과 같이 작동합니다. 공격자는 작은 DNS 요청을 보내고, 취약한 서버는 100배 더 큰 패킷으로 피해자에게 응답합니다. 팔! 기업 네트워크는 이러한 양의 데이터로 인해 빠르게 붕괴될 수 있으며 공격에는 최신 스마트폰이 제공할 수 있는 대역폭이 필요합니다. 그리고 그런 공격도 있었어요 이상하지 않음 GitHub에서도요.

우크라이나에 그러한 서버가 있는지 살펴 보겠습니다.

masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -l

첫 번째 단계는 포트 53이 열려 있는 항목을 찾는 것입니다. 결과적으로 58개의 IP 주소 목록이 있지만 이것이 모두 DDoS 공격에 사용될 수 있다는 의미는 아닙니다. 두 번째 요구 사항은 충족되어야 합니다. 즉, 개방형 해결 프로그램이어야 합니다.

이를 위해 간단한 dig 명령을 사용하여 dig + short test.openresolver.com TXT @ip.of.dns.server를 "dig"할 수 있는지 확인할 수 있습니다. 서버가 open-resolver-Detected로 응답한 경우 잠재적인 공격 대상으로 간주될 수 있습니다. 개방형 리졸버는 약 25%를 차지하며 이는 오스트리아와 비슷합니다. 총 수로 보면 이는 전체 우크라이나 IP의 약 0,02%입니다.

우크라이나에서는 또 무엇을 찾을 수 있나요?

물어봐서 다행이에요. 열린 포트 80이 있는 IP와 그 IP에서 실행되는 내용을 보는 것이 더 쉽고(개인적으로 가장 흥미로웠습니다).

웹 서버

260개의 우크라이나 IP가 포트 849(http)에 응답합니다. 80개의 주소가 귀하의 브라우저가 보낼 수 있는 간단한 GET 요청에 긍정적으로 응답했습니다(상태 125개). 나머지는 하나 또는 다른 오류를 생성했습니다. 흥미로운 점은 444개의 서버가 200의 상태를 발행했으며 가장 드문 상태는 하나의 응답에 대해 853(프록시 승인 요청)과 완전히 비표준 500("화이트 리스트"에 없는 IP)였습니다.

Apache는 절대적으로 지배적입니다. 114개의 서버가 이를 사용합니다. 내가 우크라이나에서 찾은 가장 오래된 버전은 544년 1.3.29월 29일에 출시된 2003입니다(!!!). nginx는 61개의 서버로 659위를 차지했습니다.

11개의 서버가 1996년에 출시된 WinCE를 사용하고 있으며 2013년에 패치를 완료했습니다(오스트리아에는 이 중 4개만 있음).

HTTP/2 프로토콜은 5개의 서버(HTTP/144 - 1.1, HTTP/256 - 836)를 사용합니다.

프린터... 왜냐면... 왜 안돼?

네트워크에서 액세스할 수 있는 2개의 HP, 5개의 Epson 및 4개의 Canon이 있으며 그 중 일부는 승인 없이 사용 가능합니다.

웹캠

우크라이나에는 다양한 리소스를 통해 수집되어 인터넷에 자신을 방송하는 웹캠이 많이 있다는 것은 뉴스가 아닙니다. 최소 75대의 카메라가 아무런 보호 없이 인터넷에 자신을 방송합니다. 당신은 그들을 볼 수 있습니다 여기에.

다음은 뭐지?

우크라이나는 오스트리아처럼 작은 나라지만 IT 분야에서는 큰 나라들과 똑같은 문제를 안고 있다. 우리는 무엇이 안전하고 무엇이 위험한지 더 잘 이해해야 하며, 장비 제조업체는 장비에 안전한 초기 구성을 제공해야 합니다.

그 외에 협력업체(파트너가되다) 이는 자체 IT 인프라의 무결성을 보장하는 데 도움이 될 수 있습니다. 제가 계획하고 있는 다음 단계는 우크라이나 웹사이트의 보안을 검토하는 것입니다. 전환하지 마십시오!

출처 : habr.com