FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。(摘自Fofa官网)
Fofa的一部分高级功能如下
比如突然Nginx某版本出现了一些高危漏洞,你可以通过Fofa的高级搜索功能,找到全网使用该版本Nginx的服务器,并导出查询结果,进行批量攻击。(前提是取得授权,否则为违法)
2#具体事件
一觉醒来,Fofa暂停对外开放,被工业和信息化部列为“黑名单”,整个网络安全圈炸锅了!
就在2022年1月20日下午,FOFA突然无法访问
通过多地PING,发现域名貌似将解析删除了
截止到当日(1月20日)下午3/4点,fofa.so并未恢复
团队小伙伴发现,倒是fofa.info可以正常登录和进行查询
当日(1月20日)下午5点,fofa.info开始异常,能打开,但是功能全部失效
当日(1月20日)晚上7点,fofa.info也闭站了,但仍能访问,访问后页面如下:
注:这不是第一次这样,当Log4j2漏洞刚爆出来不久,Fofa也闭站显现这样
第二天,fofa.info改为这个大家现在所能看到的界面
官方回应如下
当天晚上,北京白帽汇安全研究院负责人赵武发表微博称
3#初步分析查询
网友们匆忙查询了相关信息,发现fofa.so域名备案已经被工信部列入黑名单!!!
导致各位网友纷纷分析其原因
同时,奇安信某网络空间测绘平台疑似也被关停进行紧急维护(虽然能登录,但是数据全部看不到了)
4#网友争相猜测,谣言四起
进行非法入侵说:
出现新漏洞,进行防护缓冲说:
碰别人蛋糕说:
更有甚者,说是域名归属问题,属实扯淡:
更多扯淡的我就不放上来了,真的啥都敢扯,不怕被笑死
5#笔者的分析
笔者也是在安全圈混迹多年,对于这种情况,我个人认为不外乎这几种原因。
小生才艺不精,可能在各位大佬眼中只是班门弄斧,在这里就给大家献丑了!
首先让我们看这一张内部群截图:
赵武师傅在群内称:“确实不是技术问题,我们积极推进处理,相信让自己再升一次级”
从这里可以看出,如果真如其所说,那这次“系统升级”并不是真正的系统升级,并不是Fofa的服务器发生技术故障或者升级技术平台
同时,既然不是技术问题,那也可以排除上面网友发的“发现新漏洞,进行防护缓冲”的说法(就算是这样,那为什么国内其他几家网络空间绘测没有被关停??就Fofa一家???)
赵总于1月22日,在其公众号进行了正面回应:https://mp.weixin.qq.com/s/03NfbIMDlYQR4jk5rQDNXQ
排除了这两个选项后,只剩下这几个合理的可能性:
1、数据安全问题
可靠消息了解到,Fofa有个核心服务器在国外,《中华人民共和国数据安全法》自2021年9月1日起施行,一直到最近都在搞数据安全的相关整改和查处
可能是Fofa对数据保护这一块出现问题或者有相应短板,也可能被国外势力所利用,可能造成国内网络空间资产敏感数据泄露,被工信部要求整改
2、网络安全原因
有一说一,Fofa在国内的网络空间绘测平台中,价格最为“平民化”,深受安全圈大部分师傅的喜爱
当某个漏洞的出现,往往看到最多的是Fofa的指纹(按照笔者的平时所见所闻,可能你和我不一样)
但是笔者也见过很多拿Fofa进行非法入侵和盈利的情况,这个的确有很多
这是目前网络上流传最广的一个原因,我觉得这是有可能性的
如果是这个原因的话,那Fofa整改出来后,就可能分为以下两种情况:
- 1、对Fofa账户和API进行实名制,在后台监控用户查询的数据
- 2、只能让授权企业导出批量查询的结果,个人无法导出批量查询的结果
3、舆情原因
说实话,网络安全在国内,还处在一个“敏感”阶段,技术发展太快,但相应的准测/法规/处理流程并不完善
可能是Fofa那庞大的用户基数惊动了上面,认为师傅们使用Fofa是弊大于利,决定进行整改
因为Fofa的出现,让大家对于资产的搜集、整理、结果导出可以进行“傻瓜式”操作,大大降低了技术门槛
假如我想对某个漏洞批量利用,直接用Fofa导出查询结果,使用Exp工具批量导入结果后,可以直接批量利用,想想是不是这样?
如果没有Fofa,师傅们就要自己去写脚本,爬取相应的资产并进行端口扫描、存活验证、Poc验证、除重和分类整理等过程,Fofa的存在极大的降低了信息搜集的门槛
以上仅仅是我个人观点,是基于一部分技术事实进行的合理推测,均是我个人所想,网上也没有任何一篇文章含有推测内容,仅供参考!!!
同时,我认为Fofa和乌云并没有很大的可比性,虽然都是关站,但是两者的性质并不相同,想要了解乌云的可以看我们转载赵武师傅的文章:https://blog.aabyss.cn/post-89.html
6#国内网络空间绘测平台汇总(附赠邀请码)
除了Fofa外,国内还有什么网络空间绘测平台呢?
Fofa闭站维护后,大量网络安全从业者纷纷将目光投向其他的网络空间绘测平台,各个平台都开始做活动吸引人群
1、ZoomEye(钟馗之眼)
钟馗之眼不需要我多说了吧,是知道创宇旗下的一款网络空间绘测平台,扬名海内外,确实蛮好用,就是这个价格....
Fofa关站第二天,也就是今天(1月21日)ZoomEye钟馗之眼搜索引擎开始大降价,“今晚起会员1折!ZoomEye新年第一更太燃了!”
官网地址:https://www.zoomeye.org/
2、360Quake
Quake网络空间测绘系统是360安全大脑-测绘云的核心系统
持续性探测全球IPv4、IPv6地址,做到实时感知全球网络空间中各类资产并发现其安全风险
个人中心输入邀请码“ZHJci4”你我均可获得5,000长效积分哦
官网地址:https://quake.360.cn/
3、奇安信的鹰图平台
奇安信网络空间测绘鹰图平台(HUNTER),可对全球暴露在互联网上的服务器和设备进行:资产探测、端口探活、协议解析、应用识别,刻画资产画像与主机画像,以支撑互联网资产搜集、渗透、HW等场景。
注册后输入邀请码:4AE99DA,可得积分
官网地址:https://hunter.qianxin.com/
4、境外的Shodan这个大家都应该了解过,Shodan 是世界上第一个互联网连接设备的搜索引擎。了解互联网智能如何帮助您做出更好的决策。
官网地址:https://www.shodan.io/
最后,祝Fofa能早日回归!“与其听信谣言,不如相信Fofa!”
发表评论