Лучшая атака — та, о которой цель не знает даже спустя год. Пассивная разведка начинается именно так: ты видишь всё, тебя не видит никто.
Passive Reconnaissance — это сбор информации о цели исключительно из публичных источников, без единого прямого взаимодействия с её инфраструктурой. Ни одного пакета на сервер, ни одного запроса к цели. Ты работаешь через посредников — поисковики, базы данных, публичные реестры — и остаёшься невидимым.
⚖️ Пассивная vs Активная: в чём ставки
Современная граница между passive и active recon стала тоньше, чем раньше:
| Параметр | Passive Recon | Active Recon |
|---|---|---|
| Взаимодействие с целью | Нулевое | Прямое |
| След в логах цели | ❌ Отсутствует | ✅ Есть |
| Юридический риск | Минимальный | Высокий без разрешения |
| Скорость | Зависит от источников | Быстрее при сканировании |
| Глубина данных | Поверхность атаки | Детали сервисов и портов |
| Инструменты | Shodan, crt.sh, theHarvester | Nmap, Nikto, Burp Suite |
💡 Важный нюанс 2026 года: Shodan и Censys делают TCP-сканирование за тебя и индексируют результаты. Ты запрашиваешь уже готовые данные — это считается пассивным, даже если данные получены активным методом третьей стороны.
🗺️ Воркфлоу пассивной разведки: от домена до атаки
Системный подход — залог полноты картины:
|
1 2 3 4 5 6 7 |
Домен → DNS / WHOIS → Субдомены → IP / ASN ↓ ↓ Сотрудники ← Email ← LinkedIn Технологии ← Shodan ↓ ↓ Соцсети / GitHub Уязвимые версии / CVE ↓ ↓ Утечки учётных данных → Точки входа |
🌍 Блок 1: Инфраструктура — домены, DNS, IP
WHOIS и регистрационные данные
|
1 2 3 4 5 6 7 8 |
# Кто владелец домена, где зарегистрирован, когда истекает: whois target.com # Что смотрим: # - Registrar: GoDaddy? Namecheap? (влияет на вектор захвата домена) # - Admin Email: прямой контакт для социальной инженерии # - Name Servers: ns1.target.com — значит свой DNS, карту могут раскрыть # - Expiry Date: скоро истекает — домен может быть угнан |
DNS без касания цели
|
1 2 3 4 5 6 7 8 9 10 |
# Публичные DNS-резолверы — цель ничего не знает: dig target.com ANY @8.8.8.8 dig target.com MX @1.1.1.1 # почтовые серверы dig target.com TXT @8.8.8.8 # SPF, DKIM, верификации dig target.com NS @8.8.8.8 # серверы имён # Исторические DNS-записи (Passive DNS): # https://securitytrails.com # https://passivedns.mnemonic.no # https://dnshistory.org |
SecurityTrails хранит историю DNS-изменений — идеально, чтобы найти IP, которые использовал домен до переезда за Cloudflare. Старый реальный IP часто остаётся открытым.
ASN и диапазоны IP
|
1 2 3 4 5 6 7 8 9 |
# Найти все IP-диапазоны организации по названию: # https://bgp.he.net → поиск по org name # Через WHOIS по IP: whois 93.184.216.34 # Через онлайн-инструменты: # https://ipinfo.io/93.184.216.34 # https://bgpview.io/search#search=Target Company |
🔐 Блок 2: SSL-сертификаты — карта поддоменов бесплатно
Certificate Transparency — публичный реестр всех SSL-сертификатов в мире. Каждый выданный сертификат логируется навсегда:
|
1 2 3 4 5 6 7 8 9 10 11 |
# crt.sh — бесплатно, мощно, пассивно: curl -s "https://crt.sh/?q=%.target.com&output=json" | \ jq -r '.[].name_value' | \ sort -u | \ grep -v '\*' # Результат: полный список поддоменов, включая "секретные" # dev.target.com, staging.target.com, internal-api.target.com # Через Amass (агрегирует crt.sh + другие источники): amass enum -passive -d target.com |
💣 Зачем это важно:
staging.target.comчасто существует без WAF, с дефолтными паролями и устаревшим ПО. Компании «прячут» его, не понимая, что SSL-сертификат на него публичен навсегда.
📡 Блок 3: Shodan и Censys — сканируй чужими руками
Shodan и Censys непрерывно сканируют весь интернет и индексируют результаты. Ты просто делаешь запрос к их базе:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
# Shodan — поиск по организации: org:"Target Company" hostname:target.com ssl.cert.subject.cn:target.com # Найти конкретные сервисы и уязвимые версии: hostname:target.com port:3389 # открытый RDP hostname:target.com "Apache/2.2" # устаревший Apache hostname:target.com "X-Powered-By: PHP/5" # PHP 5 в 2026 году?! hostname:target.com http.title:"Admin" # панели управления hostname:target.com http.title:"Login" # Поиск по SSL-сертификату (находит за Cloudflare): ssl:"target.com" port:443 # Censys — альтернатива с другим индексом: # https://search.censys.io # parsed.names: target.com # autonomous_system.name: "Target Company" |
Что получишь: открытые порты, версии ПО, SSL-сертификаты, HTTP-заголовки, баннеры сервисов — и всё это без единого пакета от тебя к цели.
📧 Блок 4: Люди и email — социальный граф цели
theHarvester — email, поддомены, имена
|
1 2 3 4 5 6 7 8 |
# Стандартный запуск с несколькими источниками: theHarvester -d target.com -b google,bing,linkedin,certspotter,urlscan # Только email-адреса: theHarvester -d target.com -b all | grep "@" # Сохранить в XML: theHarvester -d target.com -b all -f recon_target |
LinkedIn как пассивный источник
|
1 2 3 4 5 |
# Через Google (без LinkedIn-аккаунта): site:linkedin.com/in "Target Company" site:linkedin.com/in "Target Company" "security engineer" site:linkedin.com/in "Target Company" "system administrator" site:linkedin.com/in "Target Company" "DevOps" |
Золото в вакансиях:
|
1 2 3 4 5 6 |
Ищем DevOps с опытом: - AWS EKS, Terraform, Vault by HashiCorp - Kubernetes, Helm, ArgoCD - GitLab CI/CD, Prometheus, Grafana → Ты знаешь весь инфраструктурный стек без сканирования. |
🕷️ Блок 5: Recon-ng — фреймворк пассивной разведки
Recon-ng — модульный фреймворк, похожий на Metasploit, но для разведки:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
# Запуск: recon-ng # Создать воркспейс: workspaces create target_company # Установить модули: marketplace install recon/domains-hosts/certificate_transparency marketplace install recon/domains-contacts/whois_pocs marketplace install recon/hosts-hosts/resolve marketplace install recon/contacts-credentials/hibp_breach # Добавить домен и запустить: db insert domains target.com modules load recon/domains-hosts/certificate_transparency run # Посмотреть собранные данные: show hosts show contacts show credentials |
💾 Блок 6: Wayback Machine — машина времени против забывчивых разработчиков
Интернет-архив хранит снимки сайтов с 1996 года. Старые версии сайта — это:
-
Удалённые страницы с инфраструктурными данными
-
Старые API-эндпоинты, которые могут всё ещё работать
-
Забытые файлы:
.git,.env,config.php,backup.zip
|
1 2 3 4 5 6 7 8 9 10 |
# Посмотреть историю сайта: # https://web.archive.org/web/*/target.com/* # Через командную строку: curl "http://web.archive.org/cdx/search/cdx?url=*.target.com&output=text&fl=original&collapse=urlkey" | \ grep -E "\.(php|asp|aspx|jsp|env|git|sql|bak|zip|tar)" # Найти забытые директории: curl "http://web.archive.org/cdx/search/cdx?url=target.com/*&output=json&fl=original&collapse=urlkey" | \ jq -r '.[] | .[0]' | sort -u |
🔑 Блок 7: Утечки данных — готовые учётные данные
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
# Проверить email на известные утечки: # https://haveibeenpwned.com/API/v3 curl -H "hibp-api-key: YOUR_KEY" \ "https://haveibeenpwned.com/api/v3/breachedaccount/user@target.com" # Dehashed — более полная база: # https://dehashed.com/?query=target.com # Поиск утечек в GitHub: site:github.com "target.com" "password" site:github.com "target.com" "secret_key" site:github.com "target.com" "api_key" site:github.com "target.com" "DB_PASSWORD" # Специализированный инструмент: gitleaks detect --repo=https://github.com/target/repo trufflehog github --org=targetcompany |
🔥 По статистике, более 80% компаний имеют хотя бы одну утечку учётных данных в публичных источниках. Найти email сотрудника + его пароль из утечки 2022 года = попытка в VPN, Confluence, Jira, почту.
🤖 Блок 8: Автоматизация — ReconFTW и BBOT
Когда хочется всё сразу и быстро:
|
1 2 3 4 5 6 7 8 9 |
# ReconFTW — полный пассивный + активный recon в одном: git clone https://github.com/six2dez/reconftw cd reconftw && ./install.sh ./reconftw.sh -d target.com -p # только пассивный режим # BBOT — модульный разведчик нового поколения: pip install bbot bbot -t target.com -p passive # только пассивные модули bbot -t target.com -f subdomain-enum,email-enum -rf passive |
ReconFTW за один запуск выполняет: сбор субдоменов, поиск email, проверку утечек, сканирование Certificate Transparency, поиск через Shodan и сохранение всего в структурированный отчёт.
📋 Итоговый чеклист пассивной разведки
|
1 2 3 4 5 6 7 8 9 10 11 12 |
✅ WHOIS → владелец, регистратор, email, NS-серверы ✅ Passive DNS (SecurityTrails) → исторические IP, старые записи ✅ crt.sh → все поддомены из SSL-сертификатов ✅ Shodan / Censys → открытые порты и сервисы без сканирования ✅ Google Dorks → открытые файлы, панели, конфиги ✅ Wayback Machine → старые страницы, удалённые файлы, API ✅ theHarvester → email сотрудников, имена, субдомены ✅ LinkedIn + вакансии → технологический стек, структура команды ✅ GitHub / GitLab → утечки кода, API-ключи, пароли ✅ HaveIBeenPwned / Dehashed → скомпрометированные учётки ✅ BGP / ASN → полный диапазон IP-адресов организации ✅ Recon-ng / ReconFTW → автоматизация всего выше |
🧠 Философия пассивной разведки
Пассивная разведка — это не только инструменты. Это образ мышления: смотреть на цель как на сумму всех её цифровых следов, разбросанных по публичным источникам. Компании тратят миллионы на файрволы и IDS, и при этом оставляют открытыми поддомены в Certificate Transparency, пароли в старых GitHub-репозиториях и полный технологический стек в вакансиях на HeadHunter.
💣 Главное правило: прежде чем нажать Enter в Nmap — убедись, что уже знаешь больше, чем мог бы дать любой сканер. Пассивная разведка не оставляет следов. Активная — всегда.
