Большинство организаций не знает, чем владеет. Не в философском смысле - в буквальном. Для пентестера это подарок: в 9 из 10 проектов заказчик не видит собственной инфраструктуры целиком. Забытый dev-сервер со стажировочным приложением, VPN-концентратор пятилетней давности, S3-бакет от уволившегося подрядчика - всё это реальные точки входа из реальных проектов. CIS Controls v8 говорит прямым текстом: Control 1 - Inventory and Control of Enterprise Assets, Control 2 - Inventory and Control of Software Assets. Защитники пишут политики. Атакующие составляют карту. Эта статья - та самая карта: методы, инструменты и workflow, которые позволяют увидеть инфраструктуру цели лучше, чем её владелец.
Навигатор по разведке инфраструктуры
| # | Подтема кластера | Подробнее |
|---|---|---|
| 1 | Пассивная разведка веб-инфраструктуры через robots.txt, sitemap и .well-known | robots.txt, sitemap и .well-known: пассивная разведка |
| 2 | Архитектура скрытого сбора данных без следов | Пассивный OSINT без следов |
| 3 | Subdomain enumeration через Amass, Subfinder и dnsx | Subdomain enumeration: полный маппинг |
| 4 | Захват поддоменов через dangling DNS | Subdomain Takeover: от dangling DNS до эксплуатации |
| 5 | Shadow IT: от забытого поддомена до initial access | Обнаружение Shadow IT при пентесте |
| 6 | Картирование через Passive DNS и CT-логи | Картирование внешней атакуемой поверхности |
| 7 | EASM-платформы: connectorless-перечисление | EASM платформы: цифровой отпечаток организации |
| 8 | Сравнение Shodan, Censys, FOFA и Netlas | EASM инструменты: сравнение платформ |
| 9 | OSINT-разведка: от Shodan до графа связей | OSINT пентест: полный арсенал разведки |
| 10 | OSINT на практике: кейс автопроизводителей | OSINT разведка атакуемой поверхности автопроизводителей |
| 11 | theHarvester: от источников до карты поверхности | theHarvester - инструмент разведки |
| 12 | SpiderFoot vs Recon-ng vs Amass: сравнение | Сравнение инструментов пассивной разведки |
| 13 | Инвентаризация внешних активов и забытые точки входа | Управление поверхностью атаки |
| 14 | PhoneInfoga: разведка по номерам телефонов | PhoneInfoga: установка и запуск |
| 15 | PhoneInfoga на Windows и Android | PhoneInfoga на Windows 10/11 и Android |
Зачем пентестеру собственный asset management - и почему CMDB заказчика бесполезна
[Применимо: внешний пентест, black box / grey box]
На старте каждого engagement заказчик передаёт скоуп: список доменов, иногда - диапазон IP-адресов. Реже - ссылку на CMDB или Excel-таблицу. Практически никогда эти данные не отражают реальность.
Проблема не в халатности. ИТ-подразделение ведёт учёт для бухгалтерии и лицензирования. ИБ - для управления уязвимостями. Но ни то, ни другое не отвечает на вопрос атакующего: "что я вижу снаружи?". Разрыв между "что зарегистрировано в CMDB?" и "что реально доступно из интернета?" - главная слепая зона. По данным Palo Alto Networks, этот разрыв максимально расширяется в трёх сценариях: слияния и поглощения (наследуется вся поверхность атаки приобретённой компании), облачная миграция (новые инстансы появляются быстрее, чем обновляется инвентаризация) и ребрендинг (устаревшие домены и маркетинговые микросайты остаются в DNS).
Поэтому asset management пентест начинается не с получения списка - а с его верификации и расширения. Задача - построить собственную карту атакуемой инфраструктуры, которая отражает взгляд атакующего, а не администратора. В терминах NIST CSF v2.0 это функция ID.AM-01: поддержание инвентаризации аппаратных активов организации. Разница в том, что защитник строит инвентаризацию изнутри, а пентестер - снаружи, без привилегированного доступа.
В MITRE ATT&CK весь процесс разведки инфраструктуры покрывается тактикой Reconnaissance: Gather Victim Network Information (T1590), Active Scanning (T1595), Search Open Technical Databases (T1596). Каждая из этих техник - звено в цепочке от нулевого знания о цели к полному network asset inventory.
Подробный разбор методологии инвентаризации: Управление поверхностью атаки: как инвентаризировать внешние активы и находить забытые точки входа
Пассивная разведка инфраструктуры: сбор данных без единого пакета к цели
Passive reconnaissance - первый этап любого внешнего пентеста. Ценность - в полной невидимости: ни одного пакета к целевой инфраструктуре, ни IDS, ни WAF, ни SOC заказчика не зафиксируют начало работ. В MITRE ATT&CK это Search Open Technical Databases (T1596).
WHOIS, DNS-записи и robots.txt - стартовый минимум
Реконнесанс инфраструктуры начинается с того, что лежит на поверхности. WHOIS-записи раскрывают регистратора, контактные данные, дату регистрации и связанные организации. DNS-записи - MX, TXT (включая SPF/DKIM), NS, CNAME - дают карту почтовых серверов, CDN-провайдеров и облачных сервисов. А robots.txt и sitemap.xml на веб-серверах цели зачастую раскрывают внутренние пути, админ-панели и разделы, которые администратор намеренно скрыл от поисковых роботов. От роботов - но не от атакующего.На одном из проектов запрос к robots.txt обнаружил путь
/internal-api/v2/docs/ - Swagger-документацию внутреннего API, доступную без аутентификации. IT-команда считала, что директива Disallow в robots.txt равна контролю доступа. Спойлер: не равна. Это классический OWASP A05:2021 - Security Misconfiguration.Для автоматизации сбора на этом этапе хорошо работает theHarvester: он агрегирует данные из поисковых систем, DNS, Shodan и других источников в единую карту внешней поверхности атаки. Подробнее: theHarvester - инструмент разведки: от выбора источников до карты внешней поверхности атаки
Что можно вытащить из robots.txt, sitemap и .well-known без единого скана: robots.txt, sitemap и .well-known: пассивная разведка веб-инфраструктуры
Архитектура скрытого сбора без оставления следов: Пассивный OSINT без следов: архитектура скрытого сбора данных для пентестеров
Passive DNS и Certificate Transparency - восстановление истории инфраструктуры (Картирование внешней атакуемой поверхности организации)
Passive DNS - исторические данные о резолвинге доменных имён, собранные сенсорами по всему миру. Запрашивая Passive DNS, пентестер видит поддомены, которые когда-то существовали, но уже удалены из актуальных DNS-записей. Среди них - dev-среды, staging-серверы и тестовые инстансы, которые могут быть всё ещё доступны по IP-адресу, хотя DNS-запись давно удалена.Certificate Transparency (CT) логи - вторая золотая жила. Каждый TLS-сертификат, выпущенный публичным центром сертификации, попадает в CT-логи. Запрос к crt.sh по домену организации раскрывает все поддомены, для которых когда-либо выпускались сертификаты. На одном из проектов CT-логи показали сертификат для vpn-legacy.example.com - VPN-концентратор на OpenVPN 2.4, который IT-команда считала выведенным из эксплуатации три года назад. Он был доступен по прямому IP. Три года.
Этот подход соответствует MITRE ATT&CK - IP Addresses (T1590.005): сбор информации об IP-адресах целевой сети.
Полное руководство по Passive DNS и CT-логам для картирования внешней поверхности атаки: Картирование внешней атакуемой поверхности организации: Passive DNS, CT-логи и охота на Shadow IT
Subdomain enumeration: полный маппинг внешней поверхности атаки
[Применимо: внешний пентест, black box]
Subdomain enumeration - ключевой этап обнаружения забытых активов. Организация может контролировать корневой домен, но за годы работы на нём накапливаются десятки и сотни поддоменов: от marketing-landing-2021.example.com до jenkins.internal.example.com, случайно прорезолвленного на внешний IP.
Эффективный подход - комбинирование нескольких инструментов, потому что каждый покрывает разные источники данных:
| Метод | Инструменты | Источник данных | Покрытие |
|---|---|---|---|
| Брутфорс DNS | Amass, dnsx, massdns | Словари + резолверы | Угадывание существующих имён |
| API-агрегация | Subfinder, theHarvester | SecurityTrails, VirusTotal, Shodan | Исторические и актуальные записи |
| CT-логи | crt.sh, Certstream | Certificate Transparency | Поддомены с TLS-сертификатами |
| Passive DNS | Amass (passive), CIRCL | Сенсоры пассивного DNS | Историческая привязка DNS |
| Web scraping | Amass, GoSpider | Ссылки на страницах цели | Поддомены, упомянутые в контенте |
Важный нюанс, который часто упускают: Amass и Subfinder на одном и том же домене дают разные результаты. Amass использует собственные модули для брутфорса, Certificate Transparency и DNS-мутации, а Subfinder фокусируется на API-агрегации. В проектах, где нужен максимальный охват, я запускаю оба инструмента с последующим объединением результатов через
dnsx для валидации. Это даёт на 25-40% больше уникальных поддоменов по сравнению с использованием одного инструмента.Отдельно стоит учитывать риск Subdomain Takeover: ситуация, когда CNAME-запись поддомена указывает на ресурс, который больше не контролируется организацией (dangling DNS). Атакующий может зарегистрировать этот ресурс и получить контроль над поддоменом целевой организации - с валидным TLS-сертификатом.
Полный разбор инструментов: Subdomain enumeration инструменты: полный маппинг через Amass, Subfinder и dnsx
Как эксплуатировать dangling DNS на практике: Захват поддомена через Subdomain Takeover: от dangling DNS до полной эксплуатации
Shadow IT при пентесте: 3 сценария, когда забытый актив становится точкой входа
Shadow IT - активы, существующие вне контроля IT-подразделения и не отражённые ни в одной CMDB. Для пентестера обнаружение Shadow IT - не академическое упражнение, а один из самых надёжных путей к initial access.
Три типовых сценария из практики:
Сценарий 1: dev-среда на публичном облаке. Разработчик поднял тестовый инстанс в AWS для демонстрации фичи заказчику. Инстанс привязали к поддомену dev-demo.example.com через Route53. Демо прошло, инстанс забыли. Через полгода на нём устарели все зависимости, а SSH-ключ остался дефолтным. Пентестер обнаруживает его через CT-логи - сертификат Let's Encrypt выпущен и продлевается автоматически. Let's Encrypt не забывает, даже если разработчик забыл.
Сценарий 2: legacy-сервис после миграции. Компания мигрировала почту в облако, но старый Exchange-сервер продолжает работать на внутреннем IP. Проблема: кто-то из сетевых администраторов когда-то пробросил порт 443 наружу для OWA. Сканирование активов организации через Shodan показывает этот порт - с заголовком сервера, указывающим на Exchange 2013. Который уже давно без патчей.
Сценарий 3: SaaS-интеграция подрядчика. Маркетинговое агентство подключило аналитический сервис к поддомену analytics.example.com через CNAME на облачную платформу. Контракт с агентством завершился, CNAME осталась. Классический dangling DNS - вектор для Subdomain Takeover.
По данным CyCognito, модель seedless discovery (обнаружение без начальных вводных) специально заточена на поиск таких активов: она не опирается на заранее известные домены, а самостоятельно находит связанные ресурсы через CT-логи, DNS-перечисление и анализ веб-контента.
Детальный разбор с воспроизводимой методологией: Обнаружение Shadow IT при пентесте: от забытого поддомена до initial access
EASM-платформы и инструменты для разведки внешней поверхности атаки
External Attack Surface Management (EASM) - класс решений, которые автоматизируют то, что пентестер делает руками: обнаружение, инвентаризацию и оценку всех интернет-доступных активов организации. Отличие от CMDB или vulnerability scanner: EASM работает извне, с позиции атакующего, и находит то, что внутренние системы учёта не видят.
По данным Gartner, EASM входит в топ трендов управления безопасностью. Аналитики выстроили методологию CTEM (Continuous Threat Exposure Management), где инвентаризация (Discovery) - второй этап после определения скоупа. Для пентестера EASM-платформы - ускоритель разведки: вместо ручного запуска десятка инструментов можно получить первичную карту внешних активов организации за минуты.
Shodan, Censys, FOFA и Netlas: trade-off таблица
| Платформа | Сильная сторона | Ограничения | Когда использовать |
|---|---|---|---|
| Shodan | Глубокое индексирование IoT, промышленных протоколов | Ограниченный бесплатный API, медленное обновление | Поиск нестандартных сервисов: SCADA, камеры, VPN |
| Censys | Полное TLS-покрытие, связка по сертификатам | Менее детальный fingerprinting приложений | Обнаружение активов через анализ сертификатов |
| FOFA | Широкое покрытие азиатского сегмента, гибкие фильтры | Интерфейс преимущественно на китайском | Разведка целей с инфраструктурой в APAC |
| Netlas | Индексация response body, хороший DNS-поиск | Меньшая база по сравнению с Shodan/Censys | Поиск по содержимому HTTP-ответов |
Ни одна платформа не покрывает 100% внешней поверхности атаки. В реальных проектах оптимальная стратегия - кросс-проверка через 2-3 платформы с последующей дедупликацией результатов. Я обычно начинаю с Shodan (широкий sweep по ASN), потом проверяю Censys (сертификаты вытаскивают то, что Shodan пропустил), и добавляю Netlas, если нужен поиск по содержимому HTTP-ответов.
Подробное сравнение с примерами запросов: EASM инструменты: сравнение Shodan, Censys, FOFA и Netlas для внешней разведки
Connectorless EASM: автоматическое построение цифрового отпечатка
Отдельный класс EASM-решений работает по модели connectorless-перечисления: платформа строит цифровой отпечаток организации без установки агентов и без доступа к внутренней сети. На вход - только название компании или корневой домен. Дальше она автоматически обнаруживает связанные активы через DNS, CT-логи, ASN-привязки, WHOIS-данные и анализ HTTP-заголовков.По данным Palo Alto Networks, в 2026 году ведущие EASM-платформы используют AI-powered asset correlation для автоматического определения владельца актива и его связи с бизнес-единицей. Для крупных организаций с десятками дочерних компаний это критично - ручное определение принадлежности каждого из сотен обнаруженных поддоменов просто нереалистично.
Как это работает на практике: EASM платформы: как строится цифровой отпечаток организации методами connectorless-перечисления
OSINT для инвентаризации: от поисковых движков до графа связей
OSINT-разведка инфраструктуры - не отдельный этап, а сквозной процесс, который дополняет и DNS-перечисление, и EASM. Разница в подходе: OSINT работает с неструктурированными данными - поисковыми выдачами, утечками, метаданными документов, профилями сотрудников - и строит из них связи, невидимые для чисто технических инструментов.Типичный workflow OSINT-разведки при пентесте:
- Google Dorks по домену цели:
site:example.com filetype:pdf,site:example.com inurl:admin,site:example.com intitle:"index of"- раскрывают забытые документы, открытые директории и административные панели - Shodan/Censys для поиска по организации, ASN и сетевым блокам - дают инфраструктурный слой: какие сервисы видны снаружи, на каких портах, с какими баннерами
- GitHub/GitLab Dorks - поиск ключей, токенов и конфигурационных файлов, случайно закоммиченных сотрудниками (и это случается куда чаще, чем хочется верить)
- Maltego или самописные скрипты для кластеризации результатов в граф связей: домен -> IP -> ASN -> другие домены на том же IP -> связанные организации
Полный арсенал OSINT для пентеста: OSINT пентест: полный арсенал разведки по цели - от Shodan до графа связей
Практический кейс разведки автопроизводителей: OSINT разведка атакуемой поверхности автопроизводителей: Shodan, Censys и CT-логи на практике
Активное сканирование: Nmap, Masscan и fingerprinting сервисов
[Применимо: внешний пентест, black box - после получения письменного разрешения]Когда пассивная разведка выжата досуха, наступает этап активного сканирования - отправка пакетов к целевой инфраструктуре для обнаружения открытых портов и определения сервисов. В MITRE ATT&CK это Network Service Discovery (T1046) и Scanning IP Blocks (T1595.001).
Два инструмента решают разные задачи:
- Masscan - сканирование на скорости до нескольких миллионов пакетов в секунду. Используется для первичного sweep больших диапазонов: быстро определить, какие IP-адреса из собранного диапазона ASN вообще имеют открытые порты. Ограничение: Masscan не делает fingerprinting - он только фиксирует, что порт открыт.
- Nmap - точечное сканирование с идентификацией сервисов (
-sV), версий ОС (-O) и запуском NSE-скриптов. Используется после Masscan: на отфильтрованном списке хостов с открытыми портами.
Bash:
masscan -p 0-65535 --rate 10000 -iL target_ips.txt -oL masscan_results.txt
# Извлечь уникальные порты и хосты из вывода masscan:
# awk '/^open/ {print $4}' masscan_results.txt | sort -u > live_hosts.txt
# awk '/^open/ {print $3}' masscan_results.txt | sort -un | paste -sd, > ports.txt
nmap -sV -sC -Pn -p $(cat ports.txt) -iL live_hosts.txt -oA nmap_detailed
# Примечание: -O (OS detection) опущен - за CDN/WAF/LB результат неинформативен;
# добавляйте -O только при прямом L3-доступе и наличии root/CAP_NET_RAWРезультаты сканирования кластеризуются по типам сервисов: веб-серверы, почтовые серверы, VPN-шлюзы, базы данных. Каждый кластер - потенциальный вектор атаки, и приоритизация строится по критичности: RDP наружу важнее открытого HTTP. Всегда.
Как выбрать инструментальный стек: decision tree для пентестера
Выбор инструментов asset discovery зависит от трёх параметров: размер скоупа, глубина требуемой разведки и доступное время.Decision tree: выбор подхода к разведке инфраструктуры
Если скоуп - 1-3 домена, срок - 1-2 дня:Ручной workflow:
subfinder + amass (passive) -> dnsx для валидации -> nmap -sV по найденным хостам. Дополнить theHarvester для email-адресов и связанных доменов. Результаты кластеризовать в таблицу вручную.Если скоуп - корпорация с десятками доменов, срок - 5+ дней:
Автоматизированный pipeline: SpiderFoot или Recon-ng для оркестрации модулей сбора -> EASM-платформа (Shodan/Censys) для кросс-проверки -> Maltego для визуализации графа связей -> Masscan + Nmap для технической верификации.
Если задача - continuous monitoring (red team engagement):
EASM-платформа с connectorless-перечислением: настроить мониторинг новых поддоменов, сертификатов и открытых портов. Получать алерты об изменениях. Дополнять ручной проверкой каждого нового актива.
Trade-off таблица: инструменты пассивной разведки
| Инструмент | Оркестрация | Кол-во источников | Визуализация | Когда использовать | Когда не использовать |
|---|---|---|---|---|---|
| Amass | Нет | 30+ DNS-источников | Базовая (D3) | Максимальное покрытие поддоменов | Нужна быстрая автоматизация без настройки |
| Subfinder | Нет | 40+ API | Нет | Быстрая API-агрегация | Нужен брутфорс или DNS-мутации |
| SpiderFoot | Да (модульная) | 200+ модулей | Web UI с графом | Широкая разведка: IP, email, DNS, утечки | Нужен только subdomain enumeration |
| Recon-ng | Да (marketplace) | Модули из marketplace | Нет | Гибкий pipeline из модулей | Нет времени на конфигурацию модулей |
| theHarvester | Нет | 10+ источников | Нет | Быстрый сбор email + DNS | Нужна глубокая разведка |
Подробное сравнение трёх ключевых инструментов с архитектурными отличиями: SpiderFoot vs Recon-ng vs Amass: сравнение инструментов пассивной разведки
Для разведки по номерам телефонов (контактные данные из WHOIS, профили сотрудников) в стек добавляется PhoneInfoga - инструмент OSINT для верификации и сбора метаданных по телефонным номерам. Руководство по установке: PhoneInfoga: установка и запуск, платформенно-специфичный гайд: PhoneInfoga на Windows 10/11 и Android
Место asset discovery в kill chain: от разведки до эксплуатации
Asset discovery - не самостоятельная дисциплина, а первое звено в цепочке атаки. Без качественной инвентаризации пентестер стреляет вслепую. С ней - получает приоритизированный список целей для следующих этапов.Полная цепочка:
Reconnaissance (asset discovery) -> Vulnerability Assessment (Vulnerability Scanning - T1595.002) -> Initial Access (эксплуатация найденных уязвимостей) -> Post-Exploitation (закрепление, lateral movement)
Каждый этап asset management пентеста напрямую питает следующий:
- Subdomain enumeration раскрывает хосты -> передаёт в Nmap для fingerprinting
- Service fingerprinting определяет версии ПО -> передаёт в vulnerability scanner для сопоставления с CVE
- Vulnerability assessment приоритизирует уязвимости -> пентестер выбирает вектор initial access
- Shadow IT discovery находит неуправляемые активы -> они проверяются на дефолтные credentials и missing patches
По данным IBM X-Force Threat Intelligence Index 2025, для отдельных категорий уязвимостей среднее время между публикацией CVE и устранением в организациях достигает 29 месяцев. Двадцать девять. Это означает, что активы, обнаруженные на этапе asset discovery, с высокой вероятностью содержат уязвимости с публичными эксплойтами.
От точечного пентеста к непрерывному мониторингу поверхности атаки
Attack surface management движется от точечных оценок к непрерывному процессу - и это меняет роль пентестера. Подход "раз в год провели пентест, получили отчёт" перестаёт работать в среде, где облачные инстансы появляются ежечасно, а новые поддомены регистрируются без согласования с ИБ.Тренды 2026 года по данным Palo Alto Networks и CyCognito:
- AI-powered asset correlation: автоматическое определение владельца актива и его связи с бизнес-процессами. Сокращает время от обнаружения до реагирования, но пока не заменяет ручную верификацию пентестером.
- Cloud-native discovery: обнаружение контейнеров, Kubernetes-сервисов и serverless-функций. Традиционное сканирование портов не видит ephemeral контейнеры - нужны интеграции с API облачных провайдеров (AWS, Azure, GCP).
- Конвергенция с XDR/SIEM: данные EASM подаются напрямую в системы мониторинга. Новый актив, появившийся в периметре, автоматически попадает под контроль правил детекции.
По данным Verizon DBIR, 68% утечек данных включают человеческий фактор - ошибки, misuse, социальную инженерию. Забытые активы формально не входят в эти категории DBIR, но являются следствием той же проблемы - недостаточного контроля. Asset discovery при пентесте призвана найти эти пробелы прежде, чем это сделает реальный атакующий.
Чеклист: этапы asset discovery при внешнем пентесте
- Получить корневые домены и IP-диапазоны от заказчика
- Провести WHOIS-lookup для определения ASN, связанных организаций и контактных данных
- Запросить CT-логи (crt.sh) для обнаружения исторических поддоменов
- Выполнить subdomain enumeration: Subfinder (API-агрегация) + Amass (brute + passive) -> валидация через dnsx
- Проверить robots.txt, sitemap.xml, .well-known/ на каждом обнаруженном веб-хосте
- Выполнить поиск в Shodan/Censys по ASN и IP-диапазонам
- Проверить Passive DNS для обнаружения устаревших, но доступных хостов
- Провести GitHub/GitLab dorking для поиска утечек конфигурации и ключей
- Запустить Masscan для идентификации открытых портов на всём диапазоне
- Выполнить Nmap с fingerprinting сервисов на обнаруженных хостах
- Кластеризовать результаты: веб-серверы, VPN, почта, БД, IoT
- Приоритизировать по принципу: неуправляемые активы > устаревшее ПО > дефолтные конфигурации
Индустрия движется к непрерывному EASM, к AI-powered asset correlation, к автоматической приоритизации. Для blue team - правильный вектор. Но для атакующего - будь то пентестер или реальный adversary - ручная работа с Amass, Subfinder и Shodan всё ещё даёт принципиально иную глубину. Автоматизированные EASM-платформы находят то, что легко искать. Пентестер находит то, что EASM-платформа классифицировала как "не относится к организации" - и именно этот актив оказывается точкой входа.
Через год-два AI научится находить lateral-связи между активами не хуже человека. Но пока этого не произошло, ценность пентестера - в умении увидеть инфраструктуру как единый граф, а не как список IP-адресов. CMDB показывает узлы. Пентестер видит пути. Если хочешь отработать полный цикл asset discovery на реальной инфраструктуре - на WAPT эту цепочку проходят в нескольких модулях с лабами, от пассивной разведки до эксплуатации обнаруженных уязвимостей.
Последнее редактирование модератором:
