Что нашёл исследователь, сканируя интернет по иконкам сайтов.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Крошечная картинка рядом с названием вкладки может рассказать о сервере гораздо больше, чем кажется. Специалист по безопасности создал систему с искусственным интеллектом, которая проанализировала миллионы значков сайтов и превратила их в инструмент для поиска программного обеспечения и связанной с ним инфраструктуры.
Значки сайтов редко меняются после установки программы или развёртывания сервера. Благодаря такой стабильности один и тот же значок позволяет находить в интернете тысячи систем с одинаковым программным обеспечением. Чтобы найти нужные узлы, достаточно вычислить хеш изображения и проверить, на каких из них встречается такое же значение.
Автор проекта собрал более 3 млн значков из данных поисковой системы Shodan и построил систему, которая автоматически сопоставляет хеши с производителями и программными продуктами. Около 60% изображений находились по стандартному адресу /favicon.ico, а более 84% файлов использовали формат PNG.
Чтобы обработать данные, специалист использовал систему с искусственным интеллектом. Сначала программа искала в Shodan до 100 серверов с одинаковым хешем, затем группировала результаты по содержимому страниц и анализировала названия, серверное программное обеспечение, сертификаты и другие признаки. Если данных не хватало, система открывала сайты в браузере, выполняла дополнительный поиск и проверяла идентификаторы программ в базе уязвимостей.
Такой подход позволяет не только определять программное обеспечение, но и обнаруживать ложные серверы, созданные чтобы следить за действиями злоумышленников. Если одинаковый значок появляется одновременно на страницах маршрутизаторов MikroTik, коммутаторов FortiSwitch, серверов Oracle и других несвязанных продуктов, система считает такое сочетание признаком подставной инфраструктуры.
Значки также помогают оценивать масштабы распространения уязвимого программного обеспечения. После того как раскрыли CVE-2026-41940 в cPanel & WHM, число серверов с соответствующим значком неожиданно выросло. Автор предполагает, что причиной могли стать новые подставные серверы, которые специалисты по безопасности разворачивали чтобы наблюдать за атаками и собирать сведения о действиях злоумышленников.
Во время анализа система обнаружила и более тревожные примеры. Среди найденных узлов оказались открытые сеансы noVNC с запущенным Firefox. Часть серверов не требовала пароля, а внутри браузеров работали программы чтобы добывать криптовалюту или оставались открытыми учётные записи социальных сетей.
Автор опубликовал часть набора данных и методику анализа. Для каждого хеша собраны контрольные суммы, распространённые адреса значков, описание предполагаемого продукта и попытка определить его стандартный идентификатор. При этом специалист предупреждает, что значок нельзя считать окончательным доказательством принадлежности сервера к конкретному продукту. Изображение легко заменить или намеренно подделать.
Несмотря на ограничения, значки сайтов позволяют незаметно и в больших масштабах изучать доступную из интернета инфраструктуру. Картинка размером всего 16 на 16 пикселей может связать между собой тысячи серверов, помочь определить установленное программное обеспечение и сузить область поиска потенциально уязвимых систем.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Крошечная картинка рядом с названием вкладки может рассказать о сервере гораздо больше, чем кажется. Специалист по безопасности создал систему с искусственным интеллектом, которая проанализировала миллионы значков сайтов и превратила их в инструмент для поиска программного обеспечения и связанной с ним инфраструктуры.
Значки сайтов редко меняются после установки программы или развёртывания сервера. Благодаря такой стабильности один и тот же значок позволяет находить в интернете тысячи систем с одинаковым программным обеспечением. Чтобы найти нужные узлы, достаточно вычислить хеш изображения и проверить, на каких из них встречается такое же значение.
Автор проекта собрал более 3 млн значков из данных поисковой системы Shodan и построил систему, которая автоматически сопоставляет хеши с производителями и программными продуктами. Около 60% изображений находились по стандартному адресу /favicon.ico, а более 84% файлов использовали формат PNG.
Чтобы обработать данные, специалист использовал систему с искусственным интеллектом. Сначала программа искала в Shodan до 100 серверов с одинаковым хешем, затем группировала результаты по содержимому страниц и анализировала названия, серверное программное обеспечение, сертификаты и другие признаки. Если данных не хватало, система открывала сайты в браузере, выполняла дополнительный поиск и проверяла идентификаторы программ в базе уязвимостей.
Такой подход позволяет не только определять программное обеспечение, но и обнаруживать ложные серверы, созданные чтобы следить за действиями злоумышленников. Если одинаковый значок появляется одновременно на страницах маршрутизаторов MikroTik, коммутаторов FortiSwitch, серверов Oracle и других несвязанных продуктов, система считает такое сочетание признаком подставной инфраструктуры.
Значки также помогают оценивать масштабы распространения уязвимого программного обеспечения. После того как раскрыли CVE-2026-41940 в cPanel & WHM, число серверов с соответствующим значком неожиданно выросло. Автор предполагает, что причиной могли стать новые подставные серверы, которые специалисты по безопасности разворачивали чтобы наблюдать за атаками и собирать сведения о действиях злоумышленников.
Во время анализа система обнаружила и более тревожные примеры. Среди найденных узлов оказались открытые сеансы noVNC с запущенным Firefox. Часть серверов не требовала пароля, а внутри браузеров работали программы чтобы добывать криптовалюту или оставались открытыми учётные записи социальных сетей.
Автор опубликовал часть набора данных и методику анализа. Для каждого хеша собраны контрольные суммы, распространённые адреса значков, описание предполагаемого продукта и попытка определить его стандартный идентификатор. При этом специалист предупреждает, что значок нельзя считать окончательным доказательством принадлежности сервера к конкретному продукту. Изображение легко заменить или намеренно подделать.
Несмотря на ограничения, значки сайтов позволяют незаметно и в больших масштабах изучать доступную из интернета инфраструктуру. Картинка размером всего 16 на 16 пикселей может связать между собой тысячи серверов, помочь определить установленное программное обеспечение и сузить область поиска потенциально уязвимых систем.
- Источник новости
- www.securitylab.ru