На недавнем red team проекте для автомобильного производителя первый запрос к Certificate Transparency логам выдал 400+ уникальных субдоменов. Staging OTA-сервиса, дилерский портал с Basic Auth, два API-шлюза телематики на нестандартных портах - и половины этого хозяйства не было в asset inventory заказчика. Двадцать минут, ноль отправленных пакетов в сторону цели. OSINT разведка атакуемой поверхности в автомобильной отрасли продуктивнее, чем в большинстве других секторов, и причина простая: инфраструктура росла десятилетиями, включает десятки бизнес-юнитов - от заводов до дилерских сетей - и shadow IT здесь не исключение, а норма жизни. Ниже - конкретные запросы, фильтры и методология построения графа атакуемой поверхности для automotive scope.
Shodan, Censys и crt.sh: trade-off таблица инструментов разведки
Прежде чем переходить к фазам рекона, разберёмся с инструментами. Каждый из трёх закрывает свой участок OSINT разведки атакуемой поверхности и имеет чёткие ограничения - ни один не заменяет остальные.| Инструмент | Тип данных | Сильная сторона | Ограничения | Когда применять |
|---|---|---|---|---|
| crt.sh | CT-логи, сертификаты | Полностью пассивный, бесплатный, без регистрации, исторические данные | Только домены с TLS; нет данных о портах и сервисах; нестабильная производительность при более 1000 записей | Первый шаг: перечисление субдоменов |
| Shodan | Баннеры, порты, сервисы | IoT/OT-покрытие, favicon hash, org-фильтры по ASN | Платные тарифы от $59/мес (см. shodan.io/store); задержка индексации до 30 дней; 100 результатов на бесплатном tier | Идентификация сервисов и технологий на известных хостах |
| Censys | Сертификаты, хосты, протоколы | Структурированные запросы по полям сертификата, Search 2.0 API | лимитированное число API-запросов на бесплатном тарифе (см. censys.io/pricing); слабее IoT-покрытие чем у Shodan | Корреляция сертификатов с бизнес-юнитами |
Из альтернатив стоит держать в виду: ZoomEye и BinaryEdge как дополнение к Shodan (ZoomEye особенно хорош для APAC-региона, BinaryEdge - для мониторинга cloud-экспозиций), Subfinder и Amass для агрегации субдоменов из десятков источников одновременно, Certstream для мониторинга CT-логов в реальном времени.
Ключевой паттерн для automotive: crt.sh даёт широту (субдомены), Shodan - глубину (что на них крутится), Censys - корреляцию (кому принадлежит и как связано). Все три используются последовательно, каждый обогащает результат предыдущего.
Место в цепочке атаки и требования к окружению
[Применимо: внешний пентест, red team, bug bounty. Black box.]Все техники ниже - фаза Reconnaissance по MITRE ATT&CK. Конкретные тактики: T1596.003 (Digital Certificates), T1596.005 (Scan Databases), T1590.001 (Domain Properties), T1590.002 (DNS), T1590.005 (IP Addresses). Результат фазы - приоритизированный список хостов и сервисов для дальнейшей работы на этапе initial access, где каждый хост оценивается на уязвимости (T1595.002 - Vulnerability Scanning). Пассивный рекон через CT-логи и Shodan не генерирует трафика к цели и формально не требует письменного разрешения заказчика. Но для активного сканирования (nmap по обнаруженным хостам) - авторизация обязательна.
Требования к окружению:
- ОС: Linux/macOS (curl, jq из коробки) или Windows через WSL
- RAM: 2 ГБ достаточно - вся работа идёт через API без локальной обработки больших массивов
- Сеть: online, все инструменты - веб-сервисы и API
- Аккаунты: crt.sh без регистрации; Shodan - бесплатный tier (100 результатов) или membership; Censys - бесплатный community tier (лимиты см. censys.io/pricing)
- Установка CLI:
pip install shodan censysдля командной строки (опционально, можно работать через веб-интерфейс)
Certificate transparency разведка: перечисление субдоменов через crt.sh
Certificate Transparency (CT) - открытый фреймворк, обязывающий удостоверяющие центры логировать каждый выданный TLS-сертификат в публичные append-only логи. Для OSINT-аналитика это значит: каждый субдомен, для которого когда-либо выпускался сертификат, доступен через поиск. Техника маппится на T1596.003 (Digital Certificates, Reconnaissance).Для автопроизводителя CT-логи раскрывают масштаб цифрового следа, который сама компания зачастую не осознаёт. Заводы в разных странах, дилерские сети (у крупного бренда - тысячи дилеров), порталы лояльности, fleet management, OTA-инфраструктура обновлений, телематика, CRM для сервисных центров. Каждый бизнес-юнит заказывает собственные сертификаты, и этот цифровой след разрастается годами без единого реестра.
Запрос к crt.sh через API - одна строка:
Bash:
curl -s "https://crt.sh/?q=%25.example-motors.com&output=json" \
| jq -r '.[].name_value' | sort -u%25 - URL-encoded wildcard % для поиска всех субдоменов. Параметр output=json возвращает структурированный ответ вместо HTML. Через jq извлекаем поле name_value (имя домена из сертификата), сортируем и дедуплицируем.Пример вывода (анонимизированный, на основе реальных проектов):
Код:
api-fleet.example-motors.com # Fleet management API
dealer-portal.example-motors.com # Дилерский портал - вход в B2B-сегмент
dev-ota.example-motors.com # Staging OTA - приоритет
ivi-staging.example-motors.com # Staging In-Vehicle Infotainment
loyalty.example-motors.com # Программа лояльности - PII
ota-v2.example-motors.com # Продакшен OTA-сервис
parts-api.example-motors.com # API каталога запчастей
staging.dealer-portal.example-motors.com # Staging дилерского портала
telemetry-gw.example-motors.com # Шлюз телематики
vpn.example-motors.com # Корпоративный VPNdev-ota,ivi-staging- staging-окружения. Часто без WAF, с дефолтными кредами или открытым debug-режимом. Первые кандидаты при переходе к initial access.telemetry-gw- шлюз телематики, принимающий данные от подключённых автомобилей. Типичные болячки: API без rate limiting, слабая или отсутствующая аутентификация для device-to-cloud коммуникации.dealer-portalвместе со staging - B2B-портал дилерской сети. У крупных брендов через такие порталы идёт доступ к VIN-базам, персональным данным клиентов, истории обслуживания.fleet- fleet management для корпоративных автопарков. GPS-трекинг и удалённая диагностика.vpn- один из самых ценных хостов: идентификация вендора VPN (Cisco AnyConnect, Fortinet, Pulse Secure) по баннеру сужает вектор атаки на корпоративную сеть.
Ограничения crt.sh при automotive-рекон:
- Wildcard-сертификаты (
*.example-motors.com) скрывают конкретные субдомены - видна только wildcard-запись. Чтобы перечислить реальные хосты под wildcard, нужен DNS brute force через Subfinder или Amass. - Внутренние сертификаты от приватного CA не попадают в CT-логи. OT-сегмент завода за airgap остаётся невидимым.
- crt.sh бывает нестабилен при больших выборках. Альтернатива для real-time мониторинга - Certstream, который транслирует новые записи CT-логов потоком.
Shodan для пентеста: фильтры под automotive scope
Имея список субдоменов из crt.sh, продолжаем OSINT разведку атакуемой поверхности в Shodan - определяем технологический стек и ищем сервисы, которые не должны торчать в интернет. Техники: T1596.005 (Scan Databases), T1595.001 (Scanning IP Blocks).Три фильтра, которые закрывают automotive scope:
Фильтр по организации.
org:"Example Motors" - поиск по ASN-принадлежности. Shodan распознаёт ASN и группирует хосты. Покрывает корпоративную инфраструктуру, но пропускает дилерские сети (собственные ASN или хостинг у локальных провайдеров) и облачные сервисы.Фильтр по сертификату.
ssl.cert.subject.cn:"example-motors.com" - ловит хосты за CDN и на облачных провайдерах, которые не видны через org:. Для automotive компаний, развернувших телематику на AWS/Azure/GCP, этот фильтр критичен: облачные сервисы не принадлежат ASN компании, но сертификат выдан на её домен.Фильтр по favicon hash.
http.favicon.hash:<число> - MurmurHash3 от содержимого favicon. Находит все инстансы одного приложения: staging-копии, dev-среды, региональные зеркала. Вычислить hash можно так: import mmh3, base64, requests; r = requests.get('https://target/favicon.ico'); mmh3.hash(base64.encodebytes(r.content)). Критично использовать именно encodebytes (вставляет \n каждые 76 символов), а не b64encode - иначе hash не совпадёт с индексом Shodan. Или можно взять утилиты FavFreak / karma_v2.Составной запрос для обзора:
ssl.cert.subject.cn:"example-motors.com" port:443,8443,8080,4443. Для automotive scope стоит добавить порты 1883 (MQTT - телематика), 8883 (MQTT over TLS) и 502 (Modbus - если scope включает OT-смежную инфраструктуру).Automotive-специфика в Shodan:
Дилерские порталы - часто Apache/IIS с устаревшими версиями. Запрос
ssl.cert.subject.cn:"dealer.example-motors" "Apache/2.4" покажет конкретные версии без активного сканирования. Телематические шлюзы иногда светят баннерами с указанием облачной платформы (AWS IoT Core, Azure IoT Hub) - это раскрывает архитектуру backend'а. OTA-серверы (Over-The-Air обновления) - критический актив категории А: компрометация OTA теоретически даёт возможность доставки модифицированной прошивки. Кастомные HTTP-заголовки этих серверов индексируются Shodan и помогают идентифицировать стек.Ограничения Shodan для automotive scope:
- Бесплатный tier - 100 результатов на запрос. Для automotive scope с сотнями хостов этого мало.
- Задержка индексации - новый хост может появиться через дни или недели. Для мониторинга в реальном времени нужен Shodan Monitor (платный) или собственный pipeline на базе Masscan.
- Не видит хосты за reverse proxy с shared-сертификатом.
- Для внутреннего пентеста Shodan бесполезен - он индексирует только публичный интернет.
Censys: поиск скрытых активов через корреляцию сертификатов
Censys отличается от Shodan структурированностью данных и глубиной TLS-аналитики (T1596.003 - Digital Certificates). Если Shodan - это grep по баннерам, то Censys - SQL по сертификатам интернета. Сравнение грубое, но суть передаёт.Ключевой запрос в Censys Search 2.0:
services.tls.certificates.leaf_data.subject.organization:"Example Motors". Находит все хосты, чей TLS-сертификат содержит указанную организацию. В отличие от Shodan, Censys позволяет фильтровать по полному набору полей сертификата: subject.organization, subject.organizational_unit, issuer, validity.Для автопроизводителей это работает так: крупные automotive-группы имеют десятки дочерних компаний. Сертификаты часто содержат в поле
organizational_unit название подразделения - "Connected Vehicle Division", "Dealer Network IT", "Manufacturing Systems". Запрос по OU позволяет сегментировать активы по бизнес-функции без единого пакета в сторону цели.Censys также индексирует протоколы за пределами HTTP: SSH, FTP, SMTP, Modbus, BACnet. Запрос
services.service_name: "MODBUS" and autonomous_system.name: "Example Motors" обнаруживает промышленные контроллеры, доступные из интернета. В automotive scope такие находки встречаются чаще, чем кажется - особенно на стыке OT-сети завода и корпоративного IT.Построение графа из данных Censys:
- Начни с organization name и корневого домена
- Выгрузи все уникальные IP
- Для каждого IP определи ASN через
autonomous_system.asn- это карта провайдеров и дата-центров - Извлеки SAN (Subject Alternative Names) из сертификатов - часто раскрывают домены, не найденные через crt.sh
- Построй связи: домен → IP → ASN → бизнес-юнит
Passive DNS разведка и построение графа атакуемой поверхности
Три предыдущие фазы дали три набора данных: субдомены (crt.sh), сервисы и технологии (Shodan), сертификаты и ASN (Censys). Завершающий этап OSINT разведки атакуемой поверхности - объединение этих наборов в единый граф с приоритизацией целей (T1590.002 - DNS, T1590.005 - IP Addresses).Passive DNS дополняет картину историей DNS-резолвов. Сервисы типа SecurityTrails или PassiveDNS от CIRCL показывают, какие IP-адреса резолвились для каждого субдомена в прошлом. Если
ota-v2.example-motors.com ранее резолвился на IP из корпоративного ASN, а теперь - на AWS, это может означать незавершённую миграцию с забытым legacy-инстансом на старом адресе. Такие ситуации - золото для пентестера.WHOIS-пивотинг раскрывает связанные домены через данные регистрации. Автопроизводители регистрируют домены на юридические лица дочерних компаний, и WHOIS выводит на домены, не связанные с основным брендом: порталы для поставщиков, внутренние проекты, маркетинговые домены для рекламных кампаний.
Приоритизация для automotive scope:
- Критический приоритет: OTA-серверы, телематические шлюзы, VPN-эндпоинты - компрометация даёт доступ к автомобилям или корпоративной сети
- Высокий: дилерские порталы (PII клиентов, VIN-базы), fleet management API
- Средний: staging-окружения (часто дублируют продакшен с ослабленной защитой), порталы лояльности
- Низкий: маркетинговые лендинги, статические сайты с минимальной поверхностью атаки
Ограничения пассивного рекона
OSINT разведка атакуемой поверхности - инструмент с чёткими границами, и понимание этих границ отличает рабочий рекон от театра безопасности:Автомобильная отрасль сейчас в той же точке, где финансовый сектор был десять лет назад - до серии крупных инцидентов, которые заставили банки системно вкладываться в управление внешней поверхностью атаки. У большинства автопроизводителей до сих пор нет выделенной ASM-программы: security-команда покрывает корпоративный IT, а сотни дилерских порталов, OTA-инфраструктура и телематика - в зоне ответственности «кого-нибудь». По моим наблюдениям за последние два года, соотношение активов в asset inventory к реально обнаруживаемым через пассивную OSINT разведку атакуемой поверхности - примерно один к трём. Две трети - теневые активы: забытые staging-среды, региональные дилерские порталы от местных подрядчиков, тестовые API телематики без аутентификации. Эти хосты не покрыты ни мониторингом, ни patch management, ни bug bounty.
И здесь неудобная правда: программы bug bounty автопроизводителей почти всегда исключают из scope embedded systems, OT-инфраструктуру заводов и дилерскую сеть. Юридически объяснимо. Практически - под микроскопом исследователей оказывается корпоративный сайт с минимальной поверхностью атаки, а телематический шлюз, через который теоретически можно отслеживать или управлять транспортными средствами, остаётся без внимания. Пока индустрия не пересмотрит подход к scope, пассивный рекон через CT-логи и Shodan остаётся единственным способом хотя бы оценить масштаб того, что не покрыто защитой. Попробуйте прогнать свой automotive scope через crt.sh + Shodan по методологии выше - и сравните результат с тем, что числится в asset inventory. Соотношение 1:3 удивит, но не разочарует.
