Los directorios abiertos han sido durante mucho tiempo el objetivo de los actores de amenazas que buscan acceder y exponer datos confidenciales. Los directorios abiertos se refieren a hosts HTTP con directorios habilitados, lo que significa que todos los archivos y directorios de un directorio específico se enumeran cuando se accede a la página de índice.
Si un directorio se pone a disposición del público, cualquiera puede encontrarlo realizando una búsqueda de servidores web con títulos HTML que contengan frases como "índice de" o "listado de directorio para" y cribar manualmente los resultados.
Si su organización mantiene directorios abiertos, probablemente o bien tiene un caso de uso legítimo para mantenerlos (como repositorios de artículos científicos o software archivado), o bien su existencia es accidental y querrá abordarla.
Directorios abiertos para la infraestructura de los agentes de amenazas
Sin embargo, el interés de los actores de amenazas en los directorios abiertos va más allá de la exposición de datos. Los actores de amenazas también aprovecharán los directorios abiertos para lanzar y facilitar ataques.
Los directorios abiertos permiten a los ciberdelincuentes alojar y distribuir cómodamente la infraestructura necesaria para sus actividades nefastas. Por ejemplo, pueden almacenar y distribuir fácilmente archivos de malware y software de apoyo desde directorios abiertos. Los servidores C2 también suelen encontrarse en hosts con directorios abiertos.
En su artículo "A Beginner's Guide to Hunting Malicious Open Directories", Embee Research proporciona ejemplos de directorios abiertos maliciosos descubiertos mediante Censys Search. La capacidad de ver estos directorios abiertos maliciosos puede ser increíblemente útil para los equipos azules que investigan la infraestructura de los actores de amenazas.
Directorio abierto que aloja el malware Vidar y Lumma
Acelere sus investigaciones con "Suspicious-Open-Dir".
La identificación e investigación de estos directorios abiertos mediante Censys Search se ha hecho aún más eficiente con nuestra nueva etiqueta sospechoso-directorio-abierto. Ahora, los usuarios pueden limitar su búsqueda de directorios abiertos a sólo aquellos que Censys sospeche que se utilizan con fines nefastos. Basta con introducir "labels: suspicious-open-dir" en la barra de búsqueda de consultas o añadir la etiqueta a una cadena de consulta existente. Esto significa que cualquier directorio abierto sin nombres de archivo sospechosos será excluido de los resultados obtenidos.
Censys Página de resultados de búsqueda de "labels: suspicious-open-dir"
En términos cuantificables, la etiqueta de directorio abierto sospechoso reduce los más de 400.000 resultados de directorios abiertos de Censys Search a unos 1.700 (en el momento de redactar este documento). Tenga en cuenta que los usuarios de Censys Search interesados en todos los resultados de directorios abiertos, tanto legítimos como sospechosos, pueden seguir aplicando nuestra etiqueta más amplia "open-dir" a una consulta.
Ejemplo de directorio abierto sospechoso encontrado con Censys Search
Comparta sus hallazgos
Censys Los usuarios de búsquedas ya están investigando numerosos directorios abiertos sospechosos utilizando la etiqueta suspicious-open-dir, incluidos los utilizados para configuraciones de phishing, herramientas DDOS y módulos de exfiltración PowerExploit.
¿Le ayuda la etiqueta sospechoso-abierto-dir en sus esfuerzos de seguridad o investigación? ¡Háganoslo saber! Etiquétenos en X o Mastodon con sus hallazgos, o publique en el foro de la comunidadCensys para conectarse directamente con otros usuarios comprometidos de Censys .
Puede obtener más información sobre la visión de Censysde los directorios abiertos en nuestro informe de investigación "Dorking the Internet: Unlocking Secrets in Open Directories", y encontrar consejos para investigar los directorios abiertos en el blog invitado de Embee Research, "A Beginner's Guide to Hunting Malicious Open Directories".