Sie gehen also auf Bedrohungsjagd... und Sie wollen eine große (bösartige) Bedrohung fangen.
Die Identifizierung einer bösartigen Infrastruktur kann ein besonders entmutigendes Ziel sein Bedrohungsabwehr . Angreifer, die es verstehen, Dinge wie C2-Netzwerke, Phishing-Seiten und falsche Domänen einzurichten, sind oft sehr gut darin, ihre Spuren zu verwischen, indem sie proprietäre VPNs oder kompromittierte Vermittlungsdienste nutzen. Selbst wenn die bösartige Infrastruktur sichtbar ist, kann die Zuordnung der Quelle also ein heikles Problem bleiben.
Es gibt jedoch Tools wie Censys Search die die Herausforderung des Aufspürens und Verstehens bösartiger Infrastrukturen erleichtern können. Die folgenden Anwenderberichte, Anleitungen und Videos geben Ihnen Einblicke, die Sie bei Ihrer nächsten Untersuchung bösartiger Infrastrukturen nutzen können, um sich zu informieren, zu inspirieren oder sogar zu optimieren.
7 Ressourcen, die es wert sind, gelesen (oder angeschaut) zu werden
1. Wie man bösartige Infrastrukturen identifiziert: Demo Beginnen wir mit einem kurzen Video-Tutorial, das zeigt, wie man die Suche nach bösartiger Infrastruktur in Censys Search . Folgen Sie einem unserer Experten bei der beschleunigten Suche nach C2-Infrastrukturen mit Hilfe von Geolocation-Filtern, Kennzeichnungen und strategischem Pivoting. Entdecken Sie, wie Sie mit nur wenigen Abfragen schnell von einer Makroansicht aller möglichen C2-Instanzen auf eine viel detailliertere und spezifischere Ansicht wechseln können.
VIDEO
2. Verfolgung der Vidar-Infrastruktur mit Censys Unser Team hat die Infrastruktur von Vidar untersucht, einer Malware, die sich aus Arkei entwickelt hat und als einer der ersten Diebe in der Lage ist, Informationen aus 2FA-Software und dem Tor-Browser zu extrahieren. Vidar wird mit Scattered Spider in Verbindung gebracht, das für seine Angriffe auf große Unternehmen und IT-Helpdesks bekannt ist. Da die C2-Server von Vidar HTTP über TLS verwenden, einschließlich hartkodierter Subjekt- und Aussteller-Unterscheidungsnamen (DNs) auf Zertifikaten, konnte Censys 22 eindeutige IP-Adressen erkennen, die mit Vidar-Kampagnen verbunden sind.
Im Folgenden untersuchen wir die Arbeitsmethoden von Vidar, einschließlich seiner einzigartigen Fähigkeit, Daten aus sicheren Umgebungen zu sammeln, und erläutern die spezifischen Netzwerksignaturen und C2-Server-Merkmale, die mit Censys Search aufgespürt werden können.
Den Artikel lesen
3. Russische Ransomware C2-Daten in Censys Daten entdeckt Censys Forscher identifizierten ein Netzwerk russischer Hosts, die Tools wie Metasploit und PoshC2 für Befehls- und Steuerungsoperationen nutzten und mit Ransomware-Angriffen in Verbindung gebracht wurden. Bei der Untersuchung wurden fortschrittliche Scanning-Techniken und Datenanalysen in Censys Search eingesetzt, um die Aktivitäten des Netzwerks über mehrere Länder hinweg zu verfolgen und Einblicke in die Identifizierung und Bekämpfung solch ausgefeilter Bedrohungen zu erhalten.
In dieser Zusammenfassung der Untersuchung beschreibt unser Team detailliert jeden Schritt, den es unternommen hat, um diese Hosts zu identifizieren und weitere Informationen über sie zu sammeln. Entscheidend für den Erfolg dieser Untersuchung war die Fähigkeit, neue Informationen zu nutzen und Hostverlaufsdaten strategisch einzusetzen, um ein Malware-Kit zu analysieren. Lesen Sie den vollständigen Artikel, um mehr zu erfahren und auf die Abfragen und Berichte zuzugreifen, die das Team während der Untersuchung verwendet hat.
Lesen Sie die Forschung
4. Fuzzy Matching zum Auffinden von Phishy Domains Domänen-Identifikatoren sind nach wie vor ein hartnäckiges Problem für Sicherheitsteams, und es ist oft schwierig, Identifikatoren rechtzeitig zu erkennen. In diesem Artikel erfahren Sie, wie Sie Bedrohungen durch Domain-Impersonation, die die Sicherheit der Benutzer gefährden, proaktiv erkennen und entschärfen können.
Durch den Einsatz von "Fuzzy-Matching"-Techniken wie der Levenshtein-Distanz in Kombination mit Censys -Daten und Googles BigQuery können Sie Domains, die legitimen Domains sehr ähnlich sind, effektiv erkennen und blockieren und so die Cybersicherheitsmaßnahmen verbessern. Dieser Ansatz beschleunigt nicht nur die Erkennung solcher Bedrohungen, sondern verbessert auch die Präzision, mit der nur die verdächtigsten Domains erfasst werden.
Den Artikel lesen
Interessiert an einem Tutorium? Sehen Sie sich an, wie einer unserer Censys Forscher die Anwendung dieser Fuzzy-Matching-Prinzipien in der Praxis erklärt.
VIDEO
5. Bedrohung Intel Pivoting mit Censys
Ein Benutzer von Censys berichtet, wie er die Cluster-Infrastruktur einer Cyberspionagegruppe aufdeckte, indem er Knoten mit Censys Search ansteuerte. Mit nur einem bekannten ersten Knoten beschreibt der Benutzer, wie er in Censys Search einsteigen konnte, um anschließend Portnummer, Muster, Toolname, Host-Provider und Zertifikate zu identifizieren. Mit diesen Informationen klickte der Benutzer doppelt auf den SSH-Schlüssel-Fingerabdruck, drehte sich um, um mehr über den Hosting-Provider zu erfahren, und drehte sich aufgrund der Ergebnisse weiter. Lesen Sie den Artikel, um zu erfahren, wie sie den Cyberspionage-Akteur Muddy Water genau unter die Lupe nehmen konnten.
Den Artikel lesen
6. Aufdeckung der C2-Infrastruktur eines Spyware-Anbieters
Citizen Lab, ein Forschungsinstitut an der Universität Toronto, war der Meinung, dass der Spyware-Anbieter Candiru sich als bekannte Organisationen ausgibt, um Journalisten und Menschenrechtsaktivisten ins Visier zu nehmen. Candiru behauptet, dass seine Produkte "nicht zurückverfolgbar" sind, was das Auffinden von Domänen, Zertifikaten und anderen C2-Infrastrukturen, die mit seiner Software in Verbindung stehen, besonders schwierig machen würde. Citizen Lab ließ sich von dieser Behauptung jedoch nicht abschrecken und machte sich daran, die C2-Infrastruktur des Spyware-Anbieters zu identifizieren und seine globale Präsenz zu verstehen.
Mithilfe von Censys Search identifizierte Citizen Lab ein selbstsigniertes Zertifikat, das mit Candiru in Verbindung steht, und konnte so die IP-Adresse abfragen, die das selbstsignierte Zertifikat bereitstellte. Von dort aus wechselte das Team zwischen der Suche nach Hosts und Zertifikaten in Censys Search , um schließlich mehr als 750 Websites zu identifizieren, die Candiru nachahmte. Lesen Sie die Fallstudie, um mehr über die Untersuchung von Citizen Lab zu erfahren.
Lesen Sie die Fallstudie
7. Der Leitfaden für Anfänger zum Aufspüren der Malware-Infrastruktur
Wenn Sie sich mit Malware beschäftigen, sollten Sie sich diesen vollständigen (wir würden sagen: unübertroffenen) Leitfaden zum Aufspüren der Malware-Infrastruktur ansehen, der von Embee Research als Gastautor verfasst wurde. Dieser Artikel bietet eine detaillierte Schritt-für-Schritt-Anleitung für alle möglichen Strategien zum Aufspüren von Malware innerhalb von Censys Search , komplett mit spezifischen Abfragen und Screenshots.
Der Leitfaden zeigt beispielsweise, wie man mit TLS-Zertifikaten nach Infrastrukturen sucht, die von Bedrohungsakteuren und Malware-Entwicklern zur Verschlüsselung der Kommunikation und zum Aufbau von Verbindungen zwischen einem Zielhost und einer bösartigen Infrastruktur verwendet werden. Censys verfügt über das weltweit größte Repository von x.509-Zertifikaten. Wenn also ein Bedrohungsakteur ein TLS-Zertifikat im Visier hat, kann Censys es sehen.
Wichtig ist, dass die Benutzer von Censys Search auch auf TLS-Konfigurationen für bekannte bösartige Server oder Domänen zugreifen können und so Muster und Ähnlichkeiten in TLS-Parametern erkennen können. Dies kann den Nutzern helfen, bösartige Infrastrukturen aufzuspüren und sie bestimmten Bedrohungsakteuren oder -gruppen zuzuordnen.
Den Leitfaden lesen
Weiter erforschen
Möchten Sie mehr darüber erfahren, wie Sie Ihre Bedrohungsuntersuchungen beschleunigen können? Schauen Sie sich unser On-Demand-Webinar Threat Intelligence mit Censys Search und ChatGPT an, um zu erfahren, wie Sie die Macht der generativen KI für die Suche nach Bedrohungen nutzen können!
Mehr erfahren
