24.07.2025 08:35
spectrumi 0 660 Источник

Гайнуллина Екатерина, Security Vision

Введение

В третьей части сравнительного обзора рассматриваются два относительно новых, но уже заслуживших внимание инструмента — Netlas и Criminal IP. Эти платформы появились на рынке в 2022 году и предложили свежий взгляд на задачи OSINT, мониторинга внешней инфраструктуры и анализа киберугроз.

Netlas делает акцент на доменные имена, равномерную свежесть данных и удобство мониторинга, позиционируясь как инструмент для External Attack Surface Management. Criminal IP, в свою очередь, сочетает функции интернет-сканера с возможностями платформы киберразведки, включая автоматический анализ фишинговых сайтов, оценку риска IP-адресов и поиск по изображениям.

В этой части подробно рассматриваются архитектура и особенности этих сервисов, примеры их использования в практических кейсах, а также оценка их роли как дополнения к более известным решениям вроде Shodan, Censys и FOFA.

Netlas — новый игрок с акцентом на домены и свежесть данных

Общая характеристика

Netlas — относительно молодой (основан в 2022 г.) поисковый движок сетевых активов, разработанный командой из Восточной Европы. Netlas выделяется рядом интересных подходов: он индексирует не только IP‑адреса, но и доменные имена, а также стремится обеспечивать равномерную актуальность данных по всем сервисам. Позиционируется Netlas как инструмент для External Attack Surface Management (EASM) — помимо поиска, сервис предлагает функции мониторинга и приватного сканирования по запросу, ориентируясь на задачи компаний по отслеживанию своей внешней инфраструктуры.

Сканирование и данные

Публичные сканеры Netlas регулярно обследуют до 146 портов на каждом IP (141 TCP и 5 UDP). Это меньше, чем у Shodan или ZoomEye, но Netlas компенсирует фокусом на наиболее значимых сервисах. В этот список входят все стандартные порты веб (80, 443, 8080, 8443), почтовых протоколов (25, 587, 465, 110, 995), баз данных (27 017, 3306, 5432 etc.), VPN (1194, 500, 1701...), промышленных протоколов (102, 502) и прочих популярных служб. Полный перечень опубликован в документации Netlas. Private Scanner — отдельная функция для клиентов — может по запросу сканировать расширенный список (~1300 портов), приближая охват к ZoomEye. Главное отличие Netlas: он сканирует все выбранные порты равномерно. Если какой‑то хост попал в текущий обход, то у него сразу обновятся сведения по всем 146 портам, вне зависимости от их популярности. Таким образом предотвращается ситуация, характерная для Shodan/FOFA, когда на одном IP порт 80 обновлён вчера, а порт 8080 — месяц назад (и баннер может быть устаревшим). Netlas же считает, что «свежесть» данных должна быть консистентной по хосту.

Netlas индексирует доменные имена параллельно с IP. Обнаруживая веб-сервис, Netlas фиксирует все домены/поддомены, встречающиеся в его сертификатах или баннерах, и ведёт отдельный индекс DNS. Благодаря этому Netlas очень силён в поиске по доменным именам и связанным записям. Можно искать по шаблону домена (domain:"*.example.com"), по содержимому DNS (например, dns.txt:"v=spf1 include:mailgun.org" чтобы найти все домены, чьи SPF записи указывают на Mailgun), или по свойствам SSL-сертификата (cert.subject.CN="example.com"). Такой акцент на DNS даёт интересный эффект: Netlas находит значительно больше уникальных веб-ресурсов. В тестах количество записей по портам 80/443 у Netlas оказалось в разы выше, чем у конкурентов — за счёт учёта виртуальных хостов и доменных алиасов. Например, Netlas насчитывает ~344 млн сервисов на порту 80, тогда как FOFA ~66 млн, а Shodan ~145 млн. Однако если считать только уникальные IPv4-адреса, разница не столь драматична: Netlas обнаруживает ~44 млн активных IPv4 с портом 80, что близко к Censys (~51 млн). То есть Netlas включает множество DNS-имён, указывающих на одни и те же IP (что может быть как полезно, так и избыточно — зависит от задачи). Тем не менее, такой подход удобен при анализе внешних веб-ресурсов компании: можно сразу видеть все домены, ведущие на один сервер.

Поисковый язык и интерфейс

Поиск в Netlas очень гибкий. Сервис имеет современный веб-интерфейс с продвинутым UI и собственный DSL (domain-specific language) для запросов. Формально запросы похожи на JSON-условия: например, можно писать protocol:"HTTP" или комбинировать несколько условий через AND/OR. Однако для удобства Netlas поддерживает синтаксис аналогичный Shodan/FOFA – фактически, понимается большинство запросов в стиле port:443 country:RU product:Apache , даже если они не полностью соответствуют формату JSON. Существуют фильтры по IP, порту, домену, имени хоста, технологии (по названию сервера или отпечатку в баннере, например tech:nginx), по стране/ASN, по параметрам сертификата (например, cert.subject:"CN=example.com", или по SHA-1 хешу сертификата), по содержимому HTTP (http.title, http.body), и многое другое. Поля и операторы документированы на сайте. Пример сложного запроса: «найти все устройства с открытым RDP, у которых SSL‑сертификат выдан организацией «Microsoft» и на веб‑странице есть слово «Windows» — в Netlas это можно выразить сочетанием условий по порту 3389, по полю issuer сертификата и поиску по HTML. Более того, язык Netlas поддерживает неточный поиск (fuzzy) — возможность искать по частичному соответствию строк, что полезно, когда точно не знаешь полное название. Интерфейс Netlas включает удобные автодополнения и готовые шаблоны запросов: есть библиотека Featured Queries с примерами на разные случаи (поиск открытых камер, поиск панелей Jenkins, и т. д.). Результаты выдачи показываются в виде таблицы, которую можно сортировать и фильтровать прямо в UI (например, отфильтровать найденные хосты по стране или технологии без нового запроса).

Скриншот демонстрирует результаты запроса port:8080 в платформе Netlas.io
Скриншот демонстрирует результаты запроса port:8080 в платформе Netlas.io

Уникальные фишки

Помимо упора на домены, Netlas предлагает встроенные инструменты DNS Lookup и WHOIS lookup из интерфейса — то есть, по сути, может заменить собой обычные утилиты dig/whois. При просмотре карточки домена можно сразу увидеть его DNS‑записи (A, MX, TXT и т. д.) и WHOIS‑информацию без дополнительных запросов. Есть и отдельный поиск по SSL‑сертификатам (похожий на Censys): можно искать хосты по SHA-1 отпечатку сертификата или по подстроке в Subject/Issuer. В плане данных Netlas делает акцент на качестве и актуальности: например, выдавая результаты, сервис старается не показывать «лишнего» — он отсекает много мусорных баннеров (типа повторяющихся баннеров CDN/ошибок), нормализует геолокацию, объединяет дубликаты DNS‑записей. Благодаря этому поисковая выдача часто чище, чем у Shodan (где иногда один и тот же хост может встретиться несколько раз через разные домены).

Примеры использования

Netlas — отличный выбор для задач разведки внешней инфраструктуры компании. Например, специалисту нужно выяснить, какие субдомены компании X имеют открытые порты и что на них работает. В Netlas он может одним запросом domain:»*.companyx.com» получить все связанные с компанией домены и их сервисы — это включает и те, что указывают на один IP (виртуальные хосты), и разнесённые по разным IP. Затем можно отсортировать по портам, выявить редкие сервисы. Другой кейс — Netlas удобен для поиска определённого контента на веб‑страницах в сочетании с фильтрацией по доменам. Например, bug hunter может искать в Netlas все страницы устройств Zyxel (banner:»ZyXEL») и тут же отфильтровать по слову «vulnerable» в тексте — так он выявит, какие из них показывают предупреждение об уязвимости на своей странице. Также Netlas, благодаря равномерному обновлению, подходит для мониторинга уязвимостей: можно сохранить запрос типа product:»Apache httpd» AND cert.subject:»SomeCorp» (ищем все веб‑серверы Apache определённой компании) и отслеживать, если у них появится новый порт или изменится сертификат — Netlas пришлёт уведомление. В редтиминге Netlas ценят за возможность быстро развернуть приватное сканирование нужной подсети перед атакой — например, команда может просканировать внутренний диапазон /24 с нестандартными портами, используя Netlas Private Scanner, и тут же получить результат в привычном интерфейсе. Это экономит время на настройке своих сканеров. Одним словом, Netlas стремится объединить преимущества Shodan (поиск по баннерам) и Censys (поиск по структуре + ASM) с добавлением DNS‑измерения. Он ещё молод, но уже вплотную конкурирует с «ветеранами» по возможностям.

Criminal IP – поиск угроз с искусственным интеллектом

Общая характеристика

Criminal IP — новейший сервис в нашем обзоре, запущенный в 2022 году южнокорейской компанией AI Spera. В отличие от предыдущих поисковиков, Criminal IP (CIP) позиционируется не только как интернет‑сканер, но и как платформа киберразведки (Cyber Threat Intelligence). Его цель — объединить данные активного сканирования с аналитикой об угрозах (malware, фишинг, злоумышленная активность) и предоставить удобный инструмент для оценки «зловредности» любого IP‑адреса или домена. Проще говоря, если Shodan/Censys говорят «что открыто на этом хосте», то Criminal IP стремится добавить «насколько этот хост опасен».

Сканирование и данные

Criminal IP, подобно другим, автоматически собирает данные об IP‑адресах и портах по всему миру в реальном времени. Но его источники разнообразны: используются собственные активные сканеры портов, пассивные сенсоры (например, развернутые honeypots), анализ вредоносного трафика, базы блок‑листов и т. д. Разработчики заявляют, что их система ежедневно проверяет тысячи портов и собирает баннеры веб‑сервисов, баз данных, промышленных систем, IoT‑устройств, криптовалютных нод и проч. — включая не только well‑known порты, но и registered (1024–49151) и dynamic (49152–65535). Фактически, CIP также пытается сканировать всю портовую сетку (как Censys). Плюс они комбинируют это с пассивными данными: например, если какой‑то IP замечен honeypot‑сенсором как сканер или как источник атак, это тоже попадает в базу. В итоге Criminal IP аккумулирует огромное количество метаданных: геолокация, WHOIS, домены, скриншоты веб‑страниц, попадание IP в чёрные списки (DNSBL), сведения о malware‑активности (например, подключался ли IP к командному серверу ботнета) и т. д. В сумме разработчики заявляют индекс более 4,2 млрд IP‑адресов (то есть фактически весь IPv4) с различными уровнями информации (FOFA Reviews — 2025).

Поиск и интерфейс

В Criminal IP реализованы 4 основных вида поиска: Asset Search, Domain Search, Image Search и Exploit Search.

Asset Search — поиск по IP‑адресам и портам, аналог Shodan. Поддерживаются фильтры по стране, порту, сервису, ключевым словам в баннере, наличию уязвимостей. Например: country:KR port:3389 has:vuln — найдёт в Южной Корее все открытые RDP, где CIP обнаружил уязвимость (например, по версии протокола). Или ip:203.0.113.0/24 status:404 – покажет все хосты в этой подсети, где веб‑сервер отвечает HTTP 404 (да, CIP умеет фильтровать по HTTP‑статусам). По сути, язык Asset Search близок к Shodan/FOFA, с дополнительными фильтрами вроде status: и has:vuln.

DomainSearch — уникальная функция CIP: позволяет ввести URL или домен и получить подробный отчёт о сайте. Это чем‑то похоже на сервисы типа urlscan.io: CIP сам заходит на страницу, делает скриншот, анализирует содержимое на наличие фишинга или вредоносного кода, собирает все ссылки и связанные домены, и даже выдаёт рекомендации по безопасности сайта. Фактически, Domain Search — онлайн‑сканер веб‑страниц. Очень полезно для быстрого анализа подозрительных URL: вместо того, чтобы вручную открывать потенциально опасный сайт, можно запустить Domain Search и получить информацию о нём безопасно.

Image Search — крайне интересная возможность: CIP индексирует изображения (скриншоты экранов, камеры и пр.) и позволяет искать по образцу изображения. То есть можно загрузить картинку, и CIP найдёт похожие среди скриншотов в своей базе. Например, загрузив скриншот интерфейса IoT‑камеры, можно найти все похожие камеры — полезно для идентификации бренда устройства по внешнему виду интерфейса. Или, как демонстрировали разработчики, можно искать по тексту на скриншоте: CIP делает OCR (распознавание текста) и индексирует, что написано на картинке. Например, можно найти все скриншоты RDP, содержащие слово «encrypted» — так выявляли машины, поражённые ransomware (которые показывали сообщение о шифровании на рабочем столе). Это совершенно новый угол поиска, отсутствующий в других рассматриваемых сервисах.

Exploit Search — раздел для поиска известных эксплойтов и уязвимостей. По сути, это встроенный поиск по базам exploit‑db, Metasploit и др., связанный с Asset Search. Можно ввести название уязвимости или CVE, и CIP покажет описание и список IP/доменов, связанных с этой уязвимостью. Похоже на отдельный справочник, но интегрирован: обнаружив на Asset Search хост с уязвимым сервисом, можно кликнуть CVE и увидеть эксплойт для него, либо наоборот — из Exploit раздела перейти к поиску уязвимых хостов.

Интерфейс Criminal IP современный, поддерживает несколько языков (английский, корейский, японский, французский). Главная страница — единая строка, можно переключаться между типами поиска. Результаты Asset Search представлены таблицей: IP, список открытых портов, Risk Score, теги. Видно сразу, помечен ли IP как malicious, proxy/VPN, botnet и т. д. Кликнув по IP, открываем подробный отчёт:

Пример: отчет Criminal IP по отдельному адресу (фрагмент). Видны показатели IP Scoring — 99% Inbound (входящий риск критический) и 40% Outbound (исходящий низкий), сводка Detection (обнаружено, что это Hosting IP), список Current Open Ports (22, 80, 443, 2048, 8080, 8443) с пометкой «This has vulnerabilities» для некоторых. Справа — атрибуты: Proxy IP (No), VPN IP (N/A), Tor IP (No), Hosting IP (True). Данный IP явно компрометирован. Источник: интерфейс Criminal IP Asset Search.

Вверху отчёта крупно отображаются IP Risk Scores — два кольцевых индикатора: Inbound (насколько IP опасен для вас, если от него идёт трафик) и Outbound (насколько опасен, если на него идёт трафик). Например, 99% Inbound значит, что IP известен как злоумышленный (его нельзя пускать в сеть), а 40% Outbound — исходящий от него риск низкий (вероятно, сам по себе не атакует). Ниже — секция Current Open Ports с перечнем открытых портов, указанием сервисов и наличия уязвимостей (CIP сразу помечает красным «this has vulnerabilities» для портов, на которых обнаружены уязвимые версии). Справа отображается сводка Summary/Detection: страна, ASN, и флаги — Proxy IP: Yes/No, VPN IP: Yes/No, Tor IP: Yes/No, Hosting IP: Yes/No, Mobile IP, CDN IP, Scanner IP, Special Issue и т. д.. То есть CIP пытается классифицировать, является ли данный IP выходом VPN, узлом Tor, облачным сервером, мобильным адресом, известным сканером, и т. п. Также есть разделы Abuse history (сколько раз IP появлялся в инцидентах, например, в логах ботнетов), Malicious history (сводка по вредоносной активности: замечен ли в рассылке фишинга, майнинге и т. д.), Connected domains (связанные домены, например PTR записи и домены из SSL), Webcam data (если это IP‑камера, CIP может показать кадры), Screenshot страницы, и многое другое. По сути, Criminal IP собирает на одной странице всё, что можно узнать об IP из открытых источников плюс из своего сканера.

Такой агрегированный подход позволяет сразу понять, насколько IP опасен и какие угрозы с ним связаны. Если Shodan дает «сырые» данные, то CIP даёт ещё и контекст: например, покажет, что этот IP числится в 5 ботнетах, с него шла атака на банк, он открыт на 10 портах, два из которых уязвимы, и на нём висит фишинговый домен. Очевидно, что такой IP — кандидат на блокировку в любой системе за щиты.

API и интеграции

Criminal IP предоставляет полноценный REST API для всех функций (поиск, получение отчётов, запуск URL‑скана). Документация есть на сайте. Приятно, что CIP сразу задумался об экосистеме: уже есть готовые интеграции со сторонними системами SIEM/SOAR. Например, модули для Splunk, QRadar, интеграция с Cisco SecureX, плагин для VirusTotal, трансформации для Maltego и др. Cisco в своём блоге хвалит CIP: их интеграция позволяет прямо в SOC обогащать алерты данными CIP (риск‑баллы, связанные домены, история злоупотреблений). Есть также браузерный плагин CIP Inspector (показывает информацию о IP прямо на веб‑странице — аналог плагина Shodan, но с упором на угрозы).

Доступ к API ограничен через систему кредитов. Начальный бесплатный план (Community) выдаёт некоторое количество кредитов (например, 100 запросов Asset Search и пару сканов Domain в месяц — цифры могут меняться). Этого хватает опробовать сервис. Далее есть платные планы: Basic (~$29/мес), Professional (~$99/мес) и пр., с увеличением количества кредитов на поиски и сканы. Например, на Basic может даваться 1000 Asset поисков и 50 Domain сканов ежемесячно, на Pro — больше. Точные цифры AI Spera обновляет на своём сайте. Для предприятий есть и кастомные решения (например, фиды данных угроз отдельно). В целом, модель CIP ближе к SaaS‑сервисам, чем у Shodan: платишь не просто за результаты, а за аналитику и отчёты.

Примеры использования

Criminal IP — специализированный инструмент для анализа киберугроз и фильтрации «шума». Его часто называют заменой одновременного использования Shodan + GreyNoise + VirusTotal. Действительно, CIP закрывает несколько задач: во‑первых, позволяет по IP быстро понять, относится ли он к известным сканерам (как GreyNoise) или вредоносным ботнетам (как VirusTotal, AbuseIPDB). Во‑вторых, он содержит функциональность интернет‑сканера (как Shodan) для выявления открытых портов и сервисов. Комбинация этих возможностей даёт следующее применение:

  • Фильтрация ложных срабатываний в SOC: Аналитик видит срабатывание IDS по какому‑то IP. Он проверяет IP в Criminal IP и видит, что IP Scoring Inbound: 0%, Outbound: 0%, Scanner: Yes. То есть IP — просто сканер (например, поисковик или исследовательский), угрозы не представляет. Значит, инцидент можно не эскалировать. Или наоборот, приходит запрос на доступ с внешнего IP к системе — проверка CIP показывает Inbound Risk 85% и метки Malicious: Yes, Proxy: Yes, Hosting: Yes — скорее всего, это подозрительный трафик через анонимайзер, стоит присмотреться.

  • Threat hunting: Команда проактивно ищет C2-серверы или компрометированные хосты. Через CIP Image Search они, например, могут находить скриншоты с надписью «Your files have been encrypted» — очевидно, заражённые ransomware машины. CIP показывает их IP и домены — можно уведомить владельцев или проверить, не наши ли это системы. Другой пример: через CIP Exploit Search можно найти свежие эксплойты и сразу получить список IP, к которым этот эксплойт применим (по версии ПО). То есть CIP ускоряет работу охотника, давая сразу список потенциальных целей для проверки.

  • Анализ phishing и malware: Получив подозрительный URL, аналитик запускает Domain Search в CIP. Через минуту у него есть скриншот сайта, анализ, что сайт пытается имитировать страницу Microsoft 365 (Phishing: High), домен зарегистрирован анонимно вчера, хостится на IP из дата‑центра в Украине, на нём также висят еще 3 подозрительных домена. Такого рода отчет CIP позволяет быстро принять решение — блокировать домен, занести IOC в базу, и т. д. Это гораздо быстрее, чем вручную собирать эти сведения по кусочкам.

Конечно, Criminal IP — дополняющий инструмент, а не заменяющий Shodan или Censys. Он имеет меньше охват по устройствам (фокус всё же на угрозах, а не на максимальной полноте сканирования). Тем не менее, CIP предоставляет свежий взгляд на проблему безопасности: сочетание данных сканирования с контекстом угроз. Его уже интегрируют в коммерческие решения (пример с Cisco SecureX), и со временем он может стать стандартным элементом инструментов SOC. Пока же, для индивидуальных исследователей, CIP — ценный ресурс при расследовании инцидентов, анализе атак и выявлении вредоносной инфраструктуры.

Заключение

Рассмотренные платформы во многом взаимно дополняют друг друга. Shodan незаменим для быстрого поиска экспонированных устройств и известных уязвимостей — он оперативно обновляется и прост в использовании. ZoomEye и FOFA полезны для расширения горизонтов поиска — у них шире охват портов и контента, они зачастую обнаруживают то, что пропустил Shodan (особенно в азиатском сегменте и по контентным признакам). Censys обеспечивает глубину и структуру — когда нужно детально описать конфигурацию хоста и охватить все порты, ему нет равных. Netlas привносит свежий подход с акцентом на домены и актуальность — это мощный инструмент для инвентаризации внешней поверхности атаки компании, мониторинга изменений и OSINT‑расследований по DNS. Criminal IP выходит за рамки просто поиска устройств: он закрывает нишу threat intelligence, позволяя сразу получить представление об опасности объекта и объединяя сканер с аналитикой угроз.

На практике специалисты по безопасности, в этом числе и Security Vision, часто комбинируют несколько инструментов для максимального покрытия. Например, при проработке сценария атаки команда может: найти кандидатов через Shodan, затем уточнить детали (все порты, конфигурации) через Censys, проверить дополнительные домены и записи через Netlas, просканировать на наличие эксплойтов через ZoomEye/FOFA и, наконец, оценить риск и историю активности цели через Criminal IP. Такой многогранный подход даёт наиболее полную картину. Конечно, не всегда есть ресурсы и подписки на всё сразу — поэтому выбор инструмента зависит от задач.

Резюмируя ключевые области применения:

  • Для быстрого поиска уязвимостей и открытых сервисов (классический пентест) — Shodan или ZoomEye (при наличии подписки) дают самый оперативный результат.

  • Для глубокой инвентаризации внешней поверхности (например, в bug bounty на большое предприятие) — сочетание Censys (все порты, TLS‑данные) и FOFA (поиск по контенту, поддомены) раскроет больше всего.

  • Для постоянного мониторинга своих ресурсов (ASM) — лучше других подходят Netlas и Shodan (функция Monitor), плюс имеет смысл включить Censys ASM для всеобъемлющего контроля изменений.

  • Для реагирования на угрозы и threat hunting — определённо Criminal IP (контекст риска) совместно с GreyNoise (если нужен срез по сканерам) и, опять же, Shodan (у которого есть раздел Exploits и MalwareHunter для поиска C2).

Важно отметить: актуальность информации — ключевой фактор. Несмотря на все достижения, любые из рассмотренных сервисов могут иметь неактуальные данные о не популярных хостах или специфичных сервисах. Всегда полезно перепроверять критичные находки прямым сканированием (например, nmap) или вручную. Тем не менее, интернет‑сканеры значительно ускоряют работу и позволяют увидеть «большую картину» в глобальном масштабе — то, что невозможно сделать вручную.

Комментарии (0)