Shodan CLIを触ってみた

Shodan CLIの作業ログです。MacBookにHomebrewがインストール済であることを前提としています。

HomebrewでShodan CLIをインストールします。

$ brew install shodan

API Keyをセットします。Membership以上のプランが必要です。Freeプランでは403エラーが発生します。

$ shodan init <API Key>

サンプルのドメインを検索してみます。Anomali社のドメインを見てみましょう。

$ shodan domain -D anomali.com

ANOMALI.COM

                         A      75.2.70.75 Ports: 80, 443
                         A      99.83.190.102 Ports: 80, 443
                         MX     us-smtp-inbound-1.mimecast.com
                         MX     us-smtp-inbound-2.mimecast.com
                         NS     adam.ns.cloudflare.com
                         NS     kara.ns.cloudflare.com
                         SOA    adam.ns.cloudflare.com
_dmarc                   CNAME  anomali.com.hosted.dmarc-report.com
ae-dast                  A      35.168.246.227
bounce.email             A      192.28.154.44 Ports: 25
calypso                  A      50.1.114.34 Ports: 80, 443
calypso-ft               A      50.1.114.34 Ports: 80, 443
calypso-st               A      50.1.114.39
ccirc-ca                 A      35.182.75.246
cosource-rwc             A      50.1.114.49 Ports: 80, 443
engage                   CNAME  mkto-ab550185.com
forum                    A      104.18.12.220 Ports: 80, 443, 2052, 2053, 2082, 2083, 2086, 2087, 8443, 8880
forum                    A      104.18.13.220 Ports: 80, 443, 2082, 2083, 2087, 8080, 8443, 8880
forum                    AAAA   2606:4700::6812:cdc Ports: 443
forum                    AAAA   2606:4700::6812:ddc Ports: 443
go                       CNAME  anomaliincorporated.mktoweb.com
maintenance              A      18.209.37.63 Ports: 443
match-testdrive          A      52.9.83.71 Ports: 8080
newdev                   CNAME  staging.anomali.com
pentest-ae-master        A      35.168.246.227
pentest-integrator       CNAME  ec2-35-171-55-162.compute-1.amazonaws.com
pentest-match            CNAME  ec2-35-168-246-227.compute-1.amazonaws.com
pentest-onprem           CNAME  ec2-18-215-8-157.compute-1.amazonaws.com
proxy                    A      52.4.135.12 Ports: 80, 443
qabelfast-onprem         CNAME  qabelfast-onprem-1481228548.us-west-1.elb.amazonaws.com
sales                    CNAME  custom-tracking.salesloft.com
sftp                     CNAME  anomali.files.com
staging                  CNAME  staging.anomali.com.packetfortress.net
status                   CNAME  18r794j5xqjh.stspg-customer.com
support                  A      104.18.12.220 Ports: 80, 443, 2052, 2053, 2082, 2083, 2086, 2087, 8443, 8880
support                  A      104.18.13.220 Ports: 80, 443, 2082, 2083, 2087, 8080, 8443, 8880
support                  AAAA   2606:4700::6812:cdc Ports: 443
support                  AAAA   2606:4700::6812:ddc Ports: 443
themisto                 A      81.128.219.29 Ports: 80, 443
themisto-ft              A      81.128.219.29 Ports: 80, 443
themisto-st              A      81.128.219.30 Ports: 80, 443
titan                    A      50.1.114.40 Ports: 80, 443
titan-ft                 A      50.1.114.40 Ports: 80, 443
titan-st                 A      50.1.114.41 Ports: 80, 443
triton                   A      81.128.219.20 Ports: 443
wss.stgop.chat           CNAME  stgop-mattermost-anomali-ws-2be8afce84bffc92.elb.us-east-2.amazonaws.com
www                      CNAME  proxy-ssl.webflow.com

サンプルのIPをスキャンしてみます。フルスキャンには時間がかかるようです。

$ shodan scan submit 104.18.12.220

Starting Shodan scan at 2024-04-17 11:44 - 100 scan credits left
\^/

ShodanやVirustoalのようなOSSのツールは数多あるようですね。恐らく多くの攻撃者はこれらのツールを利用して、偵察や武器化の準備を行っていると思われます。守る側もこれらのツールを積極的に触って、攻撃者がやりそうなことを先回りして抑えておくべきですね。