Shodan

목차

• 정의
• 역할
• 키워드
• 검색 방법
• 이용 범위

Shodan 대표이미지

정의

• 다양한 필터를 통해 인터넷에 연결된 다양한 유형의 장비(웹캠, 라우터 , 스위치, IOT 장비 등)를 검색할 수 있는 검색 엔진

 

역할

• Shodan은 주로 웹 서버( HTTP / HTTPS  – 포트 80, 8080, 443, 8443), FTP (포트 21), SSH (포트 22), Telnet (포트 23), SNMP (포트 161), IMAP(포트 143 또는 (암호화된) 993), SMTP (포트 25), SIP (포트 5060), 및 실시간 스트리밍 프로토콜 (RTSP, 포트 554)에서 데이터를 수집한다.
• 공공기관은 주로 FTP, NAS 서버를 점검한다.
• Shodan의 경우 보통 보안 전문가들이 취약점 분석을 수행하기 위해 필요한 여러 유용한 정보들을 제공함으로써 자사 제품의 보안 취약점을 파악하고, 보안 업데이트를 하는데 사용된다.
• 특히나 초기 아이디와 비번은 있지만, 그대로 그냥 사용하는 경우가 많아 이를 통해 관리자 권한을 탈취하는 상황도 존재한다.
• ※ 하지만 Shodan은 누구나 사용할 수 있고, 민감한 정보를 쿼리할 수도 있기에 사이버 범죄 등 불법적인 일에 사용되는 경우도 많이 발생한다. 그렇기 때문에 윤리적인 책임감을 가지고 사용을 해야한다.

 

Filter Keyword

Shodan Filter Keyword

• 주로 사용하는 필터 키워드를 나열
• 나라, 도시, 포트 등 다양한 필터 키워드들을 사용하여 서버를 검색할 수 있다

• 원하는 키워드와 값을 넣어 검색을 한다.
• 중첩을 원할 경우, 띄어쓰기를 통해 구분한다.
  • ex) city: Seoul port: 22

 

그 외 Filter Keyword

출처: Shodan

 

 

이용범위(CCTV, IP Cam)

정의

• CCTV는 주로 감시용 카메라를 일컫는다. 과거의 아날로그 CCTV는 네트워크에 연결되지 않았기에 이를 온라인으로 해킹하기는 불가능했다.
• 하지만 최근 네트워크 카메라를 이용하여 감시용 카메라를 설치하는 경우가 늘다보니 사이버 공격에  노출될 가능성이 증가했다. 이때, 주로 쓰이는 장비가 IP Cam 이다.

 

필터 예시 1

Filter 예시 적용시 나오는 항목

항목에 나오는 IP

• title:"Network Camera" country:KR
• 실제로 주소만 입력하여 접근해도 저런 로그인 창에 쉽게 접근하는 것을 확인할 수 있다.
• 만약 초기 아이디와 비밀번호 설정을 바꾸지 않았다면, 그대로 인증절차없이 권한을 얻는거나 마찬가지일 것이다.

 

필터 예시 2

 

 

• server: “i-Catcher Console” – IP 카메라를 이용한 CCTV체계
• 200 ok dvr port:”81″ – http에서 접근할 수 있는 DVR

 

필터 예시 3

• 필터 예시: product:"D-Link/Airlink IP webcam http config"

 

피혜 사례 1

심지어 웹 페이지를 통해 실시간 스트리밍을 지원하는 IP 카메라 관리 페이지에 별도의 인증 절차가 없을 경우 무단으로 녹화 가능하다.(제가 직접 실제로 접속해본 것이 아닌, 사진을 가져온 것입니다. )

 

 

피혜 사례 2

https://www.youtube.com/watch?v=iV0ZohJlQ8U

 

 

이용범위(WebCam)

정의

• webcam: PC에 연결하는 화상 회의 및 화상 채팅용 비디오 카메라. 웹캠에서 USB, 이더넷, 와이파이, 컴퓨터 네트워크, 인터넷 등을 통해 실시간으로 영상을 스트리밍
• 웹캠이 주로 설치되는 장소는 개인의 사생활이 적나라하게 드러날 우려가 존재하기 때문에심각한 사생활 침해의 우려가 존재

필터 예시

• title:camera – 카메라 
• webcam has_screenshot:true – 스크린샷을 확인할 수 있는 웹캠 
• has_screenshot:true IP Webcam - 위와 동일 
• server: webcamxp – webcamXP 서버를 사용하는 웹캠
• server: “webcam 7” – webcam 7 서버를 사용하는 웹캠 
• title:”blue iris remote view” –Blue Iris 라는 이름의 웹캠 원격 관리 시스템 
• title:”Network Camera VB-M600″ – Canon사의 카메라

피혜사례

https://www.etnews.com/20211018000229

[단독]'웹캠 해킹' 무더기 유통…사생활이 생중계된다

 

 

이용 범위(Network Printer)

정의

• 네트워크 프린터란, 일반적인 프린터 처럼 한대의 컴퓨터에 물리적으로 연결된 프린터가 아니라 네트워크에 연결되어 해당 로컬 네트워크에 연결된 모든 사용자들이 같이 사용할 수 있도록 설정된 프린터이다.
• 주로 기업이나 학교처럼 여러 사람들이 같이 써야하는 환경에서 많이 이용된다.

 

필터 예시

실제 필터를 이용하여 접속한 모 프린터 관리창

• printer – 프린터
• “HP-ChaiSOE” port:”80″ –HTTP로 접근할수 있는 레이저 프린터.
• title:”syncthru web service” –오래된 삼성 프린터.
• “Location: /main/main.html” debut –Brother printers의 관리 페이지.
• port:161 hp – 161번 포트(재부팅 명령)가 열려있는 HP 프린터.

 

피혜 사례

https://m.boannews.com/html/detail.html?idx=53346

프린터 해킹 현실화! 인쇄물 자동 출력하는 사이버 공격 확산

 

 

이용 범위(ICS)

정의

• 산업 제어 시스템 혹은 ICS (Industrial Control System)이라 부르는 시스템으로 각종 산업 시설이나 국가 기반 시설을 제어하기 위한 대형 IoT 시스템이다. 
• 과거에는 인트라넷을 사용하기에 해킹 위협이 없었지만 네트워크 기술의 발달로 인하여 외부 연결이 생산성 증대를 이루어 주는 경우가 많아져 네트워크 연결이 필수이다.
• 산업 제어 시스템이 쇼단에 노출되는 경우는 극히 드물다. 그만큼 엄중한 관리하에 있기 때문이다. 산업 제어 시스템이 해킹될 경우 산업 기밀 사항이 노출되는 것을 나아가 산업 시설이 강제로 셧다운 되어 중대한 재정적 피해를 입을 수도 있으며 만약 해킹 된 것이 발전소나 댐 등 국가가 가지고 있는 중요한 시설일 경우, 테러의 수단으로 악용될 것이다.

 

피혜사례

https://www.itworld.co.kr/news/217999

SK쉴더스, 2022년도 보안 위협 발표…“산업제어시스템 대상 사이버 공격 급증”