IT 분야에는 공식 product 명을 가진 다양한 어플리케이션이 있고, Criminal IP 에서는 그 product 이름으로 검색할 수 있는 기능을 제공한다. IP주소에 어떤 서버가 가동되고 있을 때, product filter 를 이용해 검색한다면 그 IP 주소에서 가동되고 있는 어플리케이션에 대해 파악할 수 있다.
간단하게 product filter 를 사용하면 결과를 조회할 수 있다. product는 Nginx, Apache, Microsoft IIS, Llighttpd 등의 open source 도 존재하지만, 상용 소프트웨어 또한 검색이 가능하다. 예를 들면, 방화벽이나 VPN 장비로 많이 사용되는 SonicWall에 대해 product 필터로 검색해 보았다.
IP 상세정보에서도 product: 필터 검색이 가능하다
Criminal IP Asset Search에서 product:sonicwall 을 검색한 결과
위의 결과 페이지에서 알 수 있듯이 SonicWall의 로그인 사이트도 조회되고 있다.
SonicWall 로그인 사이트 화면
Microsoft Exchange 서버를 검색하는 방법
같은 방법으로, Microsoft Exchange 서버도 검색할 수 있다. 이 때에는 이메일 프로토콜인 smtp 프로토콜도 함께 검색이 가능하기 때문에 port:443 이라는 필터를 추가하여 검색 범위를 좁힐 수 있다. 참고로 Microsoft Exchange 서버는 2021년 3월에 Zero day 취약점이 나와서 크게 홍역을 치렀던 이력이 있다.
Criminal IP Asset Search에서 product: “microsoft exchange” port:443을 검색한 결과
Outlook 로그인 사이트 화면
VMware ESXi 서버를 검색하는 방법
다음은 VMware ESXi를 검색했을 경우다. 현재 시점으로 46,000여개의 결과가 확인되며, 위 Exchange 서버 예제의 응용으로 443번 포트를 사용했을 경우와 OVH 호스팅 서버를 사용했을 경우만 골라보고 싶다면, 아래처럼 검색어를 작성할 수 있다. 참고로 CIP Team 에서는 VMware ESXi 공격표면 노출 사건을 다룬 블로그 글 을 작성한 적이 있으니, 자세한 내용을 알고 싶은 경우 이 링크를 클릭하길 바란다.
VMware 로그인 사이트 화면
이런 식으로 포트 별 product의 전체 리스트를 알고 싶은 경우, Element Analysis 기능을 이용할 수 있다. 아래 링크는 443 포트를 대상으로 한 product 리스트다.
Criminal IP Element Analysis에서 port:443을 검색한 결과 화면
데이터 출처: Criminal IP
[/fusion_text][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]
댓글 남기기