KUNGFU TECH

0
0
Lập trình
Sơn Tùng Lê
Sơn Tùng Lê103931498422911686980

Săn Lùng Mối Đe Dọa Với ZoomEye 2025

Đăng vào 3 tuần trước

• 8 phút đọc

Chủ đề:

#security#threathunting#hacker

Giới Thiệu

Trong bối cảnh an ninh mạng ngày càng phát triển, việc săn lùng mối đe dọa đã trở thành một phần quan trọng trong các chiến lược phòng ngừa chủ động. Khi chúng ta tiến vào năm 2025, các đối thủ đang sử dụng các kỹ thuật tinh vi như tấn công dựa trên trí tuệ nhân tạo (AI), thỏa hiệp chuỗi cung ứng và các chiến dịch lừa đảo tinh vi để tránh khỏi các công cụ phát hiện truyền thống. Việc săn lùng mối đe dọa chuyển đổi từ phản ứng sự cố sang việc chủ động tìm kiếm các mối đe dọa ẩn giấu trước khi chúng gây ra thiệt hại. ZoomEye, một công cụ tìm kiếm không gian mạng mạnh mẽ được phát triển bởi Phòng thí nghiệm 404 của Knownsec, nổi bật như một công cụ thiết yếu cho mục đích này. Với cơ sở dữ liệu khổng lồ về các tài sản tiếp xúc với internet, cú pháp tìm kiếm tiên tiến và thông tin thời gian thực, ZoomEye giúp các nhà nghiên cứu bảo mật, nhóm đỏ và thợ săn mối đe dọa xác định bề mặt tấn công, nhận diện lỗ hổng và phát hiện hạ tầng độc hại một cách hiệu quả.

Bài viết này sẽ đi sâu vào khả năng của ZoomEye trong việc săn lùng mối đe dọa vào năm 2025, dựa trên các ứng dụng thực tế và các trường hợp nghiên cứu. Chúng ta sẽ khám phá cách các tính năng của nó cho phép truy vấn chính xác, phát hiện lỗ hổng và liệt kê hạ tầng đối thủ, kèm theo các ví dụ thực tiễn và hình ảnh minh họa để giải thích các khái niệm chính.

Hiểu Về Săn Lùng Mối Đe Dọa Năm 2025

Săn lùng mối đe dọa là quá trình tìm kiếm chủ động các dấu hiệu của hoạt động độc hại trong các mạng lưới hoặc trên toàn cầu internet, với giả định rằng các vi phạm có thể đã tồn tại. Theo Báo cáo Săn Lùng Mối Đe Dọa 2025 của CrowdStrike, các đối thủ ngày càng sử dụng AI cho các cuộc tấn công có mục tiêu, với sự gia tăng 54% trong việc khai thác các công cụ quản lý từ xa như ScreenConnect. Các ví dụ thực tế bao gồm việc săn lùng các mối đe dọa liên tục (APTs) như FIN7, liên quan đến việc phân tích các chỉ số xâm phạm (IOCs) như mẫu mạng bất thường hoặc các máy chủ chỉ huy và kiểm soát (C2) bị lộ.

Vào năm 2025, việc săn lùng mối đe dọa hiệu quả yêu cầu các công cụ cung cấp cái nhìn rộng rãi vào không gian mạng. ZoomEye nổi bật ở đây khi quét địa chỉ IPv4/IPv6, tên miền và dịch vụ 24/7, sử dụng các công cụ độc quyền như Xmap để quét cổng và Wmap để thu thập dữ liệu web. Nó tổng hợp dữ liệu về hàng tỷ tài sản, bao gồm các máy chủ, thiết bị IoT và ứng dụng web, làm cho nó trở nên lý tưởng để khám phá các lỗ hổng bị lộ và các trang lừa đảo.

Các Khả Năng Cốt Lõi Của ZoomEye Trong Săn Lùng Mối Đe Dọa

Điểm mạnh của ZoomEye nằm ở công cụ tìm kiếm linh hoạt của nó, hỗ trợ nhiều bộ lọc và cú pháp cho các cuộc săn có mục tiêu. Các tính năng chính bao gồm:

1. Cú Pháp Tìm Kiếm và Bộ Lọc Tiên Tiến

ZoomEye sử dụng dorks—chuỗi truy vấn—để lọc kết quả theo các tiêu chí như cổng, dịch vụ, hệ điều hành, ứng dụng và các yếu tố HTTP. Ví dụ:

  • Bộ Lọc Lỗ Hổng: Sử dụng vul.cve="CVE-2025-XXXX" để tìm các tài sản bị ảnh hưởng bởi các CVE cụ thể. Vào năm 2025, điều này rất quan trọng để săn lùng các zero-day như CVE-2025-54309 trong CrushFTP, nơi hơn 193,000 trường hợp đã bị lộ.
  • Chỉ Số HTTP Body và Title: Tìm kiếm các mồi lừa đảo với http.body="chuỗi-cụ-thể" hoặc title="Tiêu Đề Lừa Đảo". Điều này giúp phát hiện các chiến dịch dựa trên mẫu.
  • Khớp Biểu Tượng và Hash: Tận dụng iconhash="giá-trị-hash" để phát hiện các trang web sao chép sử dụng favicon chính thức, một chiến thuật phổ biến trong lừa đảo chất lượng cao.
  • Phát Hiện Honeypot: Bộ lọc is_honeypot=true/false được trang bị AI loại trừ các hệ thống giả, đảm bảo các cuộc săn tập trung vào các mối đe dọa thực sự.
  • Bộ Lọc Địa Lý và Thời Gian: Thu hẹp tìm kiếm theo quốc gia, thành phố hoặc khoảng thời gian để theo dõi các mối đe dọa khu vực.

Những khả năng này cho phép các thợ săn chuyển đổi từ một IOC đơn lẻ sang các cụm tài sản liên quan, tăng cường hiệu quả.

2. Tích Hợp API Để Tự Động Hóa

API của ZoomEye cho phép truy cập theo chương trình, tích hợp với các công cụ như Nuclei để quét lỗ hổng. Ví dụ, kết hợp truy vấn ZoomEye trong Nuclei: nuclei -t template.yaml -uncover-engine zoomeye -uncover-query 'app="Ứng Dụng Bị Lỗ Hổng"'. Điều này tự động hóa quy trình săn lùng mối đe dọa, quét các mục tiêu bug bounty hoặc các công cụ RMM bị lộ trong thời gian thực.

3. Radar BugBounty Để Giám Sát Tài Sản

Ra mắt vào năm 2025, Radar BugBounty theo dõi hơn 54,000 tài sản trên các nền tảng như HackerOne và Bugcrowd, gán thẻ "Mới" hoặc "Đã Thay Đổi" cho các mục. Các truy vấn như is_bugbounty=true && vul.cve="CVE-2025-53770" xác định các lỗ hổng có giá trị cao trong các chương trình bounty. Nó loại trừ các trang web được bảo vệ CDN để tập trung vào các cuộc săn, làm cho nó vô giá trong việc thu thập thông tin chủ động.

4. Thông Tin Thời Gian Thực và Hợp Tác

Cập nhật hàng ngày của ZoomEye cung cấp dữ liệu mới về các mối đe dọa mới nổi, chẳng hạn như các lỗ hổng cho CVE-2025-5821 trong các plugin WordPress (hơn 1,700 trang web bị lỗ hổng). Sự tích hợp với các công cụ như ZoomEyeSearch CLI cho phép săn lùng thông tin tình báo mối đe dọa từ giao diện dòng lệnh.

Các Trường Hợp Thực Tế: ZoomEye Trong Hành Động

Dựa trên loạt bài chính thức của ZoomEye và các ví dụ từ cộng đồng, sau đây là những trường hợp thực tiễn cho thấy khả năng săn lùng mối đe dọa của nó vào năm 2025.

Trường Hợp 1: Săn Lùng Các Trang Lừa Đảo Có Giá Trị Cao

Lừa đảo vẫn là một mối đe dọa hàng đầu, với các bản sao mô phỏng các trang tài chính như Binance hoặc Coinbase. Loạt bài của ZoomEye mô tả một cuộc săn nhiều bước:

  • Bước 1: Truy vấn trang chính thức: domain="binance.com" để lấy hash favicon.
  • Bước 2: Tìm kiếm tái sử dụng: iconhash="43365839589fc348172246e108c1297c".
  • Bước 3: Loại trừ các tài sản hợp pháp: iconhash="43365839589fc348172246e108c1297c" && domain!="binance.com" && ssl!="binance.com".

Điều này đã phát hiện hàng chục bản sao. Mở rộng đến HTTP body: http.body="© 2025 Coinbase" đã hiện ra các bản giả mạo bắt chước bản quyền. Trong một chiến dịch năm 2025, các thợ săn đã sử dụng điều này để phá hủy một mạng lưới lừa đảo nhắm vào người dùng tiền điện tử, ngăn chặn việc đánh cắp thông tin đăng nhập.

Trường Hợp 2: Săn Lùng Sự Khai Thác Lỗ Hổng

Đối với CVE-2025-53772 trong Microsoft IIS WebDeploy (CVSS 8.8), ZoomEye đã giúp xác định 20,800 trường hợp bị lỗ hổng: app="Microsoft Web Deploy" && vul.cve="CVE-2025-53772". Các thợ săn đã chuyển sang các sự khai thác đang hoạt động bằng cách kết hợp với các tiêu đề HTTP, phát hiện các nỗ lực RCE trong thực tế.

Một trường hợp đáng chú ý năm 2025 liên quan đến các trạm cơ sở GNSS: Một nhà nghiên cứu "nhấp chuột quanh trong công cụ phát triển Firefox" để tìm một lỗ hổng superadmin, sau đó sử dụng ZoomEye ("./pc/login.html?v=") để lập bản đồ hơn 1,000 đơn vị bị lộ toàn cầu. Điều này đã dẫn đến việc vá lỗi nhanh chóng và ngăn chặn các cuộc tấn công giả mạo GPS tiềm tàng.

Trường Hợp 3: Săn Lùng Ransomware và Công Cụ RMM

Các nhóm ransomware khai thác các công cụ RMM như ScreenConnect (54% các trường hợp). Truy vấn: app="ScreenConnect Remote Management Software" để tìm các trường hợp không được cấp phép như là các cửa hậu tiềm tàng. Trong một cuộc tấn công nhà cung cấp hóa đơn tiện ích thông qua CVE-2024-57727 trong SimpleHelp, ZoomEye (app="SimpleHelp remote desktop httpd") đã lộ 21,200 MSP bị lỗ hổng, cho phép giảm thiểu chủ động.

Trường Hợp 4: Malware Và Hạ Tầng C2

Các thợ săn đã theo dõi phần mềm độc hại More_Eggs thông qua các mồi lừa đảo chủ đề resume: title="Resume" && http.header="Server: Apache/2.4.58 (Ubuntu)". Điều này đã phát hiện các chiến dịch TA4557 nhắm đến các nhà tuyển dụng, mở rộng từ Bắc Mỹ sang châu Âu. Sự tích hợp của ZoomEye với các công cụ phân tích hành vi đã tăng cường phát hiện các mối đe dọa ẩn mình như vậy.

Thực Hành Tốt Nhất và Thách Thức Năm 2025

Để tối đa hóa ZoomEye:

  • Kết Hợp Với Các Công Cụ Khác: Kết hợp với Shodan hoặc FOFA để xác minh chéo.
  • Cân Nhắc Đạo Đức: Tập trung vào các cuộc săn phòng ngừa; tránh truy cập trái phép.
  • Vượt Qua Hạn Chế: Mặc dù mạnh mẽ, ZoomEye không thể cài đặt gói hoặc truy cập mạng nội bộ—sử dụng nó cho thu thập thông tin bên ngoài.

Các thách thức bao gồm quá tải dữ liệu; tinh chỉnh truy vấn để tránh tiếng ồn. Theo Khảo sát SANS 2025, AI và các phức tạp của đám mây yêu cầu việc săn lùng kết hợp giữa con người và AI.

Kết Luận

ZoomEye biến đổi việc săn lùng mối đe dọa vào năm 2025 từ một công việc phản ứng thành một siêu năng lực chủ động. Các khả năng của nó trong việc khám phá tài sản, lập bản đồ lỗ hổng và phát hiện lừa đảo, được hỗ trợ bởi các trường hợp thực tế như săn lùng bản sao và lỗ hổng zero-day, khiến nó trở nên không thể thiếu. Bằng cách tích hợp ZoomEye vào quy trình làm việc của bạn, bạn có thể đi trước các đối thủ, giảm thiểu rủi ro vi phạm và nâng cao khả năng phục hồi an ninh mạng. Hãy bắt đầu khám phá tại zoomeye.org—chúc bạn săn lùng thành công!

Lưu ý: Tất cả hình ảnh đều được lấy từ các bài đăng công khai của ZoomEye X nhằm mục đích minh họa. Để thực hành, hãy đăng ký dùng thử miễn phí hoặc truy cập API.

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào