Les répertoires ouverts sont depuis longtemps la cible des acteurs de la menace qui cherchent à accéder à des données sensibles et à les exposer. Les répertoires ouverts font référence aux hôtes HTTP dont les répertoires sont activés, ce qui signifie que tous les fichiers et répertoires d'un répertoire spécifique sont répertoriés lorsque vous accédez à la page d'index.
Si un annuaire est mis à la disposition du public, n'importe qui peut le trouver en effectuant une recherche sur les serveurs web dont les titres HTML contiennent des expressions telles que "index of" ou "directory listing for" et en parcourant manuellement les résultats.
Si votre organisation gère des annuaires ouverts, c'est probablement qu'il existe un cas d'utilisation légitime (comme les dépôts d'articles scientifiques ou de logiciels archivés), ou que leur existence est accidentelle et que vous devez vous en préoccuper.
Annuaires ouverts pour l'infrastructure des acteurs de la menace
Cependant, l'intérêt des acteurs de la menace pour les annuaires ouverts va au-delà de l'exposition des données. Ces acteurs tireront également parti des annuaires ouverts pour lancer et faciliter des attaques.
Les annuaires ouverts permettent aux acteurs malveillants d'héberger et de distribuer facilement l'infrastructure nécessaire à leurs activités malveillantes. Par exemple, ils peuvent facilement stocker et distribuer des fichiers de logiciels malveillants et des logiciels d'appui à partir d'annuaires ouverts. Les serveurs C2 sont également souvent présents sur des hôtes dotés d'annuaires ouverts.
Dans son article intitulé "A Beginner's Guide to Hunting Malicious Open Directories", Embee Research donne des exemples de répertoires ouverts malveillants découverts à l'aide de Censys Search. La possibilité de voir ces répertoires ouverts malveillants peut être incroyablement utile aux équipes bleues qui enquêtent sur l'infrastructure des acteurs de la menace.
Répertoire ouvert hébergeant les logiciels malveillants Vidar et Lumma
Accélérez vos enquêtes avec "Suspicious-Open-Dir" (dossier ouvert suspect)
L'identification et l'investigation de ces répertoires ouverts à l'aide de Censys Search sont devenues encore plus efficaces grâce à notre nouveau label suspicious-open-dir. Les utilisateurs peuvent désormais limiter leur recherche d'annuaires ouverts à ceux que Censys soupçonne d'être utilisés à des fins malveillantes. Il suffit d'indiquer "labels : suspicious-open-dir" dans la barre de recherche ou d'ajouter le label à une chaîne de requête existante. Cela signifie que tout répertoire ouvert sans nom de fichier suspect sera exclu des résultats obtenus.
Censys Page de résultats de la recherche pour "labels : suspicious-open-dir"
En termes quantifiables, l'étiquette "suspicious-open-dir" ramène les 400 000+ résultats de l'annuaire ouvert dans Censys Search à environ 1 700 (au moment de la rédaction de ce document). Il est à noter que les utilisateurs de Censys Search intéressés par tous les résultats d'annuaires ouverts, qu'ils soient légitimes ou suspects, peuvent toujours appliquer notre label "open-dir" plus large à une requête.
Exemple de répertoire ouvert suspect trouvé avec Censys Search
Partagez vos découvertes
Censys Les utilisateurs de moteurs de recherche recherchent déjà de nombreux répertoires ouverts suspects utilisant le label suspicious-open-dir, y compris ceux utilisés pour les montages d'hameçonnage, les outils DDOS et les modules d'exfiltration PowerExploit.
Le label suspicious-open-dir vous aide-t-il dans vos efforts de sécurité ou de recherche ? Faites-le nous savoir ! Taguez-nous sur X ou Mastodon avec vos découvertes, ou postez dans le forum communautaireCensys pour vous connecter directement avec d'autres utilisateurs engagés de Censys .
Pour en savoir plus sur le point de vue de Censyssur les annuaires ouverts, consultez notre rapport de recherche "Dorking the Internet : Unlocking Secrets in Open Directories", et trouver des conseils pour enquêter sur les annuaires ouverts dans le blog invité d'Embee Research, "A Beginner's Guide to Hunting Malicious Open Directories" (Guide du débutant pour chasser les annuaires ouverts malveillants).
