Dies ist eine Kurzanleitung mit übersetzter Abfragesyntax für die neue Censys Search 2.0 die für Community-Benutzer kostenlos ist. Die folgenden Abfragen helfen Praktikern, potenzielle Anlagen und andere Infrastrukturen zu identifizieren, die mit SolarWinds Orion in Verbindung stehen. Weitere Informationen über den Vorfall bei SolarWinds und die globalen Auswirkungen finden Sie in unserem ausführlichen Bericht hier.
1. Finden Sie exponierte SolarWinds Orion-Ressourcen weltweit.
Diese Suche identifiziert die im Internet exponierten SolarWinds Orion-Anlagen. Censys Search kann verwendet werden, um nach den exponierten Anlagen zu suchen, die Ihrer Organisation gehören könnten. Wenn Sie eine exponierte SolarWinds-Anlage finden, die Ihnen gehört, empfehlen wir Ihnen, die CISA-Notfallrichtlinie und -Anleitung zu befolgen.
Nachfolgend finden Sie einen Vergleich und eine Übersetzung der Abfragesyntax zwischen der alten Censys Search App und Censys Search 2.0:
Alte Search App: Bei der alten Censys Search war dies auf HTTP-Dienste beschränkt, die auf den Ports 443 und 8080 liefen.
443.https.get.title: "SolarWinds Orion" OR 80.https.get.title: "SolarWinds Orion" ODER 8080.http.get.title: "SolarWinds Orion"
Ergebnisse (20. Mai 2021): 470
Neu Search 2.0: Neu Censys Search 2.0 scannt 2.500 Ports mit automatischer Protokollerkennung, d. h. Sie können Dienste identifizieren, die auf nicht standardmäßigen Ports laufen.
services.http.response.html_title: "SolarWinds Orion"
Ergebnisse (20. Mai 2021): 1,051
2. Suchen Sie nach Anlagen mit "SolarWinds-Orion"-zugehörigen RDP-Zertifikaten.
Der SolarWinds-Orion-Exploit nutzt C2-Hosts aus, die RDP-Zertifikate vorlegen, wie in der FireEye-Analyse vom Dezember 2020 hervorgehoben wurde. Diese Suche identifiziert alle Hosts im Internet, die sich über ein RDP-Zertifikat als "SolarWinds-Orion" identifizieren. Bei den bei dieser Suche identifizierten Hosts handelt es sich möglicherweise um die Infrastruktur von Angreifern - melden Sie diese Informationen über die entsprechenden Kanäle für den Austausch von Bedrohungsinformationen und/oder möglicherweise an die Behörden weiter.
Nachfolgend finden Sie einen Vergleich und eine Übersetzung der Abfragesyntax zwischen der alten Censys Search App und Censys Search 2.0:
Alte Search App
3389.rdp.banner.tls.certificate.parsed.issuer_dn: "CN=SolarWinds-Orion"
Ergebnisse (20. Mai 2021): 1
Neu Search 2.0
same_service("CN=SolarWinds-Orion" und services.service_name: RDP)
Ergebnisse (20. Mai 2021): 1
3. Finden Sie jedes "SolarWinds-Orion"-Zertifikat, das über einen beliebigen Port präsentiert wird
Nachfolgend finden Sie einen Vergleich und eine Übersetzung der Abfragesyntax zwischen der alten Censys Search App und der neuen Censys Search 2.0.
Alte Search App
"CN=SolarWinds-Orion"
Ergebnisse (20. Mai 2021): 48
Neu Search 2.0: Mit Search 2.0 kann Censys dank automatischer Protokollerkennung mehr Dienste und Zertifikate finden als die alte App Search .
"SolarWinds-Orion"
Ergebnisse (20. Mai 2021): 670
Weitere Informationen über Search 2.0 finden Sie in unserem Hilfe-Center. Wenn Sie mehr über Censys Search 2.0 erfahren möchten, besuchen Sie noch heute unsere Website!
