• Elastic, Shodan

,

Explorando Ameaças Ocultas na Internet com Shodan e Elastic Stack (Parte 1)

Introdução

Em um ambiente onde as ameaças se escondem em sistemas aparentemente protegidos, o Shodan se destaca por sua capacidade de revelar dispositivos expostos e pontos frágeis. Ao unir esses dados à Elastic Stack, transformamos informações complexas em insights valiosos para ações mais eficazes. Leia este artigo para compreender como essa integração redefine os parâmetros da segurança digital.

Disclaimer: Este conteúdo tem caráter exclusivamente educativo e informativo, não sendo de forma alguma uma incitação ou incentivo à prática de atividades ilícitas. O Shodan é uma ferramenta poderosa para pesquisa e monitoramento de dispositivos conectados à internet, mas é fundamental utilizá-lo de forma ética e legal. O autor não se responsabiliza por quaisquer consequências decorrentes do uso inadequado das informações aqui apresentadas.

Entendendo o Shodan

O Shodan é uma plataforma que identifica e cataloga dispositivos conectados à internet, oferecendo informações detalhadas sobre a infraestrutura global. Utilizado principalmente por profissionais de segurança, pesquisadores e administradores de sistemas, ele permite detectar vulnerabilidades, identificar dispositivos expostos, monitorar continuamente a rede e atuar de forma proativa na mitigação de ameaças.

Ao contrário de buscadores comuns, como o Google, que indexam páginas da web, o Shodan busca dispositivos e serviços expostos diretamente na internet, como webcams, servidores, bancos de dados e sistemas industriais. Para isso, o Shodan faz varreduras periódicas usando técnicas como a verificação de portas abertas e captura de banners dos serviços em execução.

Esses banners geralmente contêm informações úteis sobre o tipo de dispositivo, sistema operacional, versões dos softwares utilizados e detalhes de configuração. Os dados coletados são organizados em uma interface simples, permitindo buscas avançadas por palavra-chave, localização geográfica, portas específicas e outros critérios técnicos.

Visualização contendo informações detalhadas sobre um dispositivo. Observe que há um serviço Elasticsearch exposto, permitindo identificar o tamanho dos índices e documentos do ambiente sem necessidade de acesso direto ao sistema.

Entre as informações oferecidas pelo Shodan estão:

 

  • Endereços IP públicos e localização geográfica precisa.
  • Portas abertas e serviços relacionados (ex: HTTP, FTP, SSH, SMTP).
  • Versões de produtos e banners detalhados dos serviços.
  • Vulnerabilidades (CVEs) associadas aos produtos.
  • Informações sobre certificados SSL/TLS.
  • Hostnames, provedores de rede (ISPs) e registros DNS.

 

Exemplos do que pode ser encontrado no Shodan

Para realizar buscas no Shodan, utilizamos sua própria linguagem de consulta, que nos permite filtrar e retornar dispositivos específicos de acordo com nossos critérios. A sintaxe da linguagem e os filtros disponíveis podem ser consultados nos seguintes links: Fundamentos da consulta no Shodan e Filtros de busca do Shodan.

 

  • Pesquisando câmeras expostas para a internet

Para começarmos nossa exploração, iremos buscar por dispositivos localizados no Brasil, com a porta 554 aberta. Essa porta abrange o protocolo RTSP (Real Time Streaming Protocol), amplamente utilizado para transmissão de áudio e vídeo online.

Com alguns filtros extras, conseguimos visualizar uma câmera de escritório exposta à internet sem nenhum tipo de restrição. Vale lembrar que, com a mesma abordagem, também seria possível identificar câmeras em residências, espaços públicos, indústrias, entre outros locais.

  • Pesquisando dispositivos expostos na internet com VNC desprotegido

Nosso foco agora é encontrar dispositivos no Brasil que estejam com o serviço VNC (Virtual Network Computing) configurado sem autenticação básica. O VNC é uma tecnologia que permite acessar remotamente um dispositivo através de uma interface gráfica, possibilitando visualizar e controlar o dispositivo como se estivéssemos ao vivo diante dele.

Com alguns filtros adicionais, localizamos um dispositivo que hospeda uma solução SCADA (Supervisory Control and Data Acquisition), utilizada para automatizar e gerenciar processos industriais complexos. A partir do dispositivo que filtramos, é possível acompanhar em tempo real informações operacionais sobre equipamentos de sopradores/refrigeração. A exposição desses dispositivos sem autenticação não só possibilita acessos indesejados, mas também coloca em risco processos críticos da empresa.

 

  • Pesquisando dispositivos Fortinet expostos para a internet

 

Agora vamos buscar no Shodan dispositivos fabricados pela Fortinet, situados em Brasília e que possuem a interface administrativa acessível via internet:

Nossa busca retornou 246 dispositivos, onde podemos obter acesso à console de gerenciamento do firewall FortiGate pelo navegador do sistema, como o Google Chrome e Mozilla Firefox:

Um agente malicioso poderia explorar esse tipo de vulnerabilidade utilizando técnicas como Brute Force (T1110), se aproveitando de credenciais fracas, padrões ou até mesmo vazadas da própria organização.

Após se autenticar no sistema, o invasor poderia realizar ações como:

 

  • Escalar privilégios e modificar configurações sensíveis;
  • Exfiltrar dados confidenciais, como logs e senhas;
  • Manipular políticas de firewall, comprometendo a segurança da rede;
  • Provocar indisponibilidade de serviços (DoS) ao desabilitar o firewall.

 

Além disso, a falta de práticas robustas de autenticação, como o uso de autenticação multifator (MFA) ou limitação de tentativas de login podem agravar o risco, tornando o dispositivo vulnerável a ataques automatizados.

 

  • Pesquisando dispositivos comprometidos e expostos para a internet

Por último, será que é possível encontrar computadores ou servidores comprometidos pelo ransomware Blackbit? A resposta é sim! O BlackBit, em resumo, é um tipo de malware que, após infectar o sistema da vítima, sequestra os dados por meio da criptografia e exige um resgate financeiro para que a vítima possa ter acesso novamente às suas informações.

Nossa pesquisa retornou cinco dispositivos Windows com a porta 3389 aberta, reservada ao serviço RDP (Remote Desktop Protocol), que possibilita o acesso e controle remoto do computador ou servidor de destino. É possível observar que, após a ação do malware, o usuário recebe no seu dispositivo uma mensagem de resgate, contendo informações de contato para que o pagamento seja efetuado e, com a benevolência do invasor, o acesso aos dados seja recuperado.

Esses exemplos evidenciam como a solução rapidamente identifica exposições críticas e orienta ações corretivas. Em cenários práticos, como durante a fase de reconhecimento (TA0043) de um teste de penetração (pentest), o uso do Shodan possibilita otimizar a coleta, busca e análisede informações sobre os dispositivos de interesse.

Com a Elastic Stack, podemos centralizar e correlacionar esses dados, facilitando a identificação de vulnerabilidades e a implementação de investigações precisas e ágeis.

O que é a Elastic Stack?

A Elastic Stack é um conjunto de ferramentas fornecidas pela Elastic que possibilita a ingestão, armazenamento, análise e visualização de dados em tempo real, facilitando a observabilidade e fortalecendo a segurança dos sistemas. Com funcionalidades avançadas, é possível realizar consultas precisas e eficientes, mesmo em grandes volumes de dados, possibilitando a identificação de padrões e similaridades complexas.

Eu já escrevi um artigo contendo uma explicação detalhada sobre os conceitos sobre cada solução da pilha (Elasticsearch, Logstash, Kibana e Beats). Você pode acessá-lo pelo atalho abaixo ou clicando aqui para saber mais:

https://www.linkedin.com/pulse/integrando-pi-hole-e-elastic-stack-com-docker-marcus-sv2rc/

Neste artigo, vamos provisionar nosso ambiente com o Elastic Cloud, uma solução que permite aproveitar os produtos da Elastic em nuvens como Google Cloud Platform, Amazon AWS e Microsoft Azure. A versão SaaS (Software as a Service) não só facilita a configuração, como também oferece benefícios como escalabilidade automática, segurança integrada, snapshots automáticos e integração com diversos serviços adicionais, como Machine Learning e conectores de LLMs.

A Elastic oferece um período de 14 dias de avaliação gratuita, que permite explorar todas as funcionalidades da plataforma sem custo inicial através do link: Trial Elastic Cloud.

Automatizando a Integração com Python

É hora de darmos um passo além e transformar os dados do Shodan para investigações futuras. Para isso, uma aplicação em Python foi desenvolvida para realizar a ingestão estruturada dos dados diretamente no Elasticsearch:

O processo é composto pelas seguintes etapas:

 

  • Recebimento da consulta via terminal: O script solicita que o usuário insira uma consulta Shodan no terminal. Essa abordagem flexível permite realizar buscas diferentes conforme o objetivo da análise.
  • Conexão com a API do Shodan: Após receber a consulta, o script realiza a autenticação e executa a busca na plataforma, percorrendo todas as páginas de resultados.
  • Processamento e enriquecimento dos dados: Cada resultado é processado, com extração de campos relevantes, adição de coordenadas geográficas e organização das informações de vulnerabilidades com base nas CVEs.
  • Padronização e preparação para indexação: Os dados são normalizados conforme um esquema JSON previamente definido, garantindo consistência e qualidade na ingestão.
  • Envio para o Elasticsearch: Por fim, os dados são enviados para o Elasticsearch utilizando sua API. A estrutura final permite criar visualizações e correlações no Kibana de forma prática e intuitiva.

 

Visualizações com o Kibana

Ao indexarmos os dados no Elasticsearch, podemos utilizar o Kibana para criar dashboards interativos, combinando filtros customizáveis e uma variedade de visualizações. Recursos como filtros dinâmicos, drill-down e consultas em tempo real permitem segmentar e explorar as informações de forma granular, facilitando a análise dos dados coletados.

Vamos iniciar criando um dashboard contendo métricas básicas como o total de ativos, portas, domínios, produtos, serviços e vulnerabilidades. Essas informações vão ser complementadas por detalhes sobre endereços IPs e portas abertas, juntamente com um mapa global que exibe a distribuição dos dispositivos por país e região.

No nosso segundo dashboard, vamos aprofundar a análise apresentando dados comuns como IP e portas abertas, além de listar domínios enumerados, provedores de cloud, sistemas operacionais e os produtos e serviços identificados. Essa visualização também integra informações de CVEs, suportadas por uma tabela que exibe os banners dos dispositivos, facilitando uma compreensão mais detalhada da infraestrutura.

Em nosso último dashboard, vamos focar na avaliação de riscos. Destacamos os IPs e produtos com vulnerabilidade associadas e detalhamos os CVEs, incluindo os scores de severidade (CVSS e EPSS). Uma tabela exibe, de maneira organizada, cada vulnerabilidade junto com sua descrição e nível de criticidade, ajudando a priorizar as investigações e as ações corretivas.

Estes foram alguns exemplos do que podemos explorar utilizando o Kibana, mas as possibilidades vão muito além. Ao longo dos anos, a Elastic expandiu seu portfólio, evoluindo de uma solução de indexação e busca tradicional para uma plataforma completa de análise, monitoramento e segurança de dados.

Nas versões mais recentes, o Elasticsearch passou a incorporar busca vetorial e recursos de IA generativa, permitindo unir consultas clássicas com análise semântica avançada para gerar insights precisos. A integração com provedores de LLM (Large Language Model), como a OpenAI, eleva ainda mais as capacidades analíticas, possibilitando abordagens mais inteligentes na recuperação e interpretação dos dados.

Um recurso interessante que podemos explorar é o Playground, uma interface dentro do Kibana que nos permite interagir com os dados indexados no Elasticsearch usando linguagem natural através de um modelo de LLM. Depois de configurar o AI Assistant e apontá‑lo para o índice com os dados do Shodan, podemos interagir de formas como:

 

  • Enumerar dispositivos vulneráveis que hospedam o serviço Elasticsearch
  • Identificar dispositivos expostos com domínios vinculados a uma organização

A inteligência artificial respondeu com informações contextuais úteis, apresentando IPs, produtos, versões, localização e resumos das vulnerabilidades. Essa evolução abre caminho para abordagens mais avançadas, como o RAG (Retrieval-Augmented Generation), que enriquece as buscas com dados privados, garantindo respostas ainda mais precisas.

Além disso, possibilita o desenvolvimento de assistentes de IA sofisticados, capazes de interagir naturalmente com os usuários e aprimorar significativamente a experiência da solução.

Conclusão

Nesta primeira parte, percorremos uma jornada prática desde o entendimento do Shodan até a ingestão e visualização de seus dados no Elasticsearch e Kibana.

Mais do que visualizar dados, mostramos como é possível estruturar consultas avançadas, automatizar fluxos de ingestão com Python e interagir com os dados de maneira natural usando LLMs diretamente no Kibana — abrindo caminho para análises cada vez mais orientadas por inteligência artificial.

Na segunda parte deste artigo, vamos mergulhar ainda mais nesse tema. Você verá como criar um assistente de IA sob medida para navegar pelos seus dados do Shodan e dar aquele suporte completo ao usuário — desde a vigilância proativa até a resposta ágil a incidentes.

Nos vemos na próxima!

Marcus Silva

Faça sua inscrição agora!

Preencha os dados abaixo

Acompanhe no LinkedIn

Endereço

SIG Quadra 01, Lote 385,
Sala 132 Edifício Platinum Office
Setor Gráfico, Brasília – DF, 70610-480

Contato

(61) 3226-7932 / 0800 880 7932
faleconosco@bktech.com.br

Newsletter

Se inscreva na nossa Newsletter

RAZÃO SOCIAL: BK TECNOLOGIA DA INFORMAÇÃO LTDA. | CNPJ: 12.625.657/0001-23

© 2025 BKTECH – Todos os direitos reservados

Trabalhe Conosco

Preencha o formulário abaixo
(Apenas PDF)