[CTI] Shodan

Introduction

Shodan est un moteur de recherche permettant de trouver des machines exposées sur Internet avec des filtres.

Manuel

Vous pouvez accéder à l'interface de Shodan :

• https://www.shodan.io/dashboard

Usage

<FILTER>:<VALUE>

Filtres

Voici quelques filtres courants :

Filtres

ip

port

org

country

city

product

version

os

Sinon voici la liste complète des filtres :

• https://www.shodan.io/search/filters

Exemples

• Chercher des informations sur une IP spécifique :

ip:8.8.8.8

Chercher toutes les machines françaises de l'hébergeur Scaleway :

country:FR org:scaleway

Chercher toutes les machines Ubuntu ayant un service SSH :

os:ubuntu port:22

Vous pouvez retrouver plus d'exemples :

• https://www.shodan.io/search/examples
• https://github.com/BushidoUK/OSINT-SearchOperators/blob/main/ShodanQueriesAppliances.csv

Analyse

Vous pouvez analyser les résultats rapidement grâce à la section View Report :

On voir les ports les plus exposés, les services les plus utilisés, les hébergeurs les plus utilisés pour ces machines etc :

Vous pouvez aussi consulter les statistiques pour cette query dans le temps grâce à l'onglet Historical Trends :

Tracking de serveurs C2

Certains filtres ont été mis en place pour chercher des serveurs de commande et contrôle (C2) :

• https://github.com/BushidoUK/OSINT-SearchOperators/blob/main/ShodanAdversaryInfa.md

Serveurs C2	Filtres
Metasploit	http.favicon.hash:-12788697  ssl:MetasploitSelfSignedCA http.html:"msf4"
Cobalt Strike	ssl.jarm:07d14d16d21d21d07c42d41d00041d24a458a375eef0c576d23a7bab9a9fb1 port:443 ssl.cert.serial:146473198 product:"Cobalt Strike Beacon" http.html:"cs4.4"
Brute Ratel	http.html_hash:-1957161625 product:"Brute Ratel C4"

Vous pouvez aussi retrouver des JARM de C2 qui sont des empreintes des certificats par défaut :

• https://github.com/BushidoUK/OSINT-SearchOperators/blob/main/ShodanAdversaryInfa.md

API

Pour utiliser l'API, il vous faut payer (une version premium à 69$ payable en une seule fois vous autorise à 100 queries par mois).

Une fois votré clé API récupérée, vous pouvez initialiser shodan :

shodan init <API_KEY>

Pour faire une recherche :

shodan search "<QUERY>"

Pour trouver des informations sur une IP :

shodan host <IP>

Pour télécharger les résultats d'une recherche au format JSON :

shodan download <OUTPUT>.json "<QUERY>"

Pour consulter les résultats :

shodan parse <OUTPUT>.json

Ou alors :

cat <OUTPUT>.json | jq