Censys Search in Aktion
1. Aufdeckung eines Spyware-Netzwerks
Forscher des Citizen Lab der Universität Toronto nutzten Censys Search , um ein Spionagenetzwerk zu verstehen, das zur Überwachung von Menschenrechtsaktivisten und Journalisten eingesetzt wurde. Citizen Lab ist ein Forschungsinstitut, das häufig Untersuchungen zu den technischen Praktiken durchführt, mit denen Aktivisten und Journalisten ins Visier genommen werden. Im Rahmen dieser fortlaufenden Bemühungen nahm Citizen Lab Candiru ins Visier, einen privaten Akteur, der für den Verkauf von Spionagesoftware bekannt ist, die auf Apple-, Windows- oder Android-Geräten installiert werden kann. Das Ziel von Citizen Lab war es, die globale Präsenz von Candiru zu verstehen, indem es die Befehls- und Kontrollinfrastruktur, einschließlich IPs, Domänen und Zertifikate, aufzeichnete.
Citizen Lab verwendete zunächst Censys Search , um ein selbstsigniertes Zertifikat zu finden, das mit Candiru verbunden ist. Das Team wusste, dass es nach einer bestimmten Domain suchen musste: "candirusecurity[.]com", weil sie eine Unternehmensregistrierung aus dem Jahr 2015 in Verbindung mit Candiru gefunden hatten. Die Registrierung enthielt eine E-Mail mit der gleichen Domain: "amitn@candirusecurity[.]com". Dieser Zertifikatsfund war von Bedeutung, da er es dem Team ermöglichte, die historischen Rückblickfunktionen von Censys Search zu nutzen, um IP-Adressen zu identifizieren, die in der Vergangenheit mit Candiru in Verbindung gebracht wurden. Das Team wechselte zwischen IPv4-Hosts und Zertifikaten hin und her und fand Zertifikate für mehr als 750 Websites, die die Spyware-Infrastruktur von Candiru nachahmte.
Citizen Lab konnte mit Hilfe von Censys auch die IP-Adresse eines Opfers der Spyware ermitteln. Nachdem das Opfer gefunden und das Spyware-Muster wiederhergestellt worden war, konnte Citizen Lab das Muster an Microsoft weitergeben. Microsoft nutzte die Probe dann, um zwei zuvor nicht bekannt gegebene Schwachstellen für die Ausweitung von Privilegien zu identifizieren, die von der Candiru-Malware ausgenutzt wurden, und um mehr als 100 weitere Menschenrechtsverteidiger, Journalisten, Aktivisten und Politiker zu identifizieren, die von der Candiru-Spyware angegriffen wurden.
Bei der Schilderung dieser Bedrohungsabwehr Untersuchung unterstrich Bill Marczak, wissenschaftlicher Mitarbeiter von Citizen Lab, die Rolle von Censys :
"Die leistungsstarke Suchfunktion und die umfangreichen historischen Daten machen Censys zu einem großartigen Werkzeug für die Zuordnung. Censys wird bei fast allen unseren Ermittlungen eingesetzt" -Bill Marczak, Citizen Lab
Fallstudie lesen
2. Entdeckung eines russischen Ransomware-C2-Netzwerks
Censys Die Forscher nutzten Censys Search , um glaubwürdige Beweise für ein russisches Ransomware-C2-Netzwerk aufzudecken. Als Teil einer breit angelegten Bedrohungsabwehr Untersuchung erstellte das Censys Forschungsteam einen Bericht, der die 1000 wichtigsten Softwareprodukte anzeigte, die derzeit unter den über 7,4 Millionen Hosts zu finden sind, die Censys in Russland sehen konnte. Neun dieser Hosts enthielten das Exploit-Tool Metasploit, das das Team mithilfe der Abfrage identifizierte: (location.country= `Russland`) und services.software.product=`Metasploit`. Da Metasploit auch von vielen legitimen Penetrationstest-Teams verwendet wird, wollte Censys die neun Hosts auf andere Anzeichen für schändliche Aktivitäten untersuchen. Dabei stießen sie auf einen Host (den das Team Host A nannte) mit einem verdächtigen Deimos C2-Tool. Da dies aber nur ein Host war, gruben sie weiter.
Das Team identifizierte einen weiteren Host (Host F) mit einem Posh C2-Zertifikat, und diese Entdeckung führte zu einer HTTP-Antwort mit einem Malware-Kit. Anhand einer historischen Analyse stellte das Team fest, dass das Malware-Kit mit einer Domain der MedusaLocker-Gruppe verbunden war, die von der CISA als bekannte Ransomware-Gruppe identifiziert wurde. Mit weiteren Beweisen für Rückrufe zu einer Bitcoin-Brieftasche konnte das Forschungsteam von Censys mit hinreichender Sicherheit feststellen, dass Host F tatsächlich Teil eines C2-Ransomware-Netzwerks war.
In Bezug auf Host A machte das Team einen Host in Ohio ausfindig, der ebenfalls über das auf Host A entdeckte Deimos-C2-Tool verfügte. Durch eine weitere historische Analyse entdeckte das Team, dass der Host in Ohio über ein Malware-Paket verfügte, dessen Software Ähnlichkeiten mit dem russischen Ransomware-Host aufwies, der PoshC2 besaß.
Weitere Einzelheiten darüber, wie Censys das C2-Ransomware-Netzwerk aufdeckte, einschließlich der spezifischen Censys Search Abfragen, die verwendet wurden, finden Sie in unserem vollständigen Forschungsbericht.
Bericht lesen
3. Verstehen der Bedrohungslandschaft mit missionskritischen Informationen
Censys Search wird von einer Reihe von Organisationen des öffentlichen Sektors genutzt, darunter auch von Regierungen auf der ganzen Welt, die für die Durchführung unternehmenskritischer Aufgaben verantwortlich sind. Wir haben kürzlich mit einem unserer Kunden aus dem öffentlichen Sektor, einer führenden US-Regierungsbehörde, über die Verwendung von Censys gesprochen. Die Behörde teilte mit, dass sie sich an Censys gewandt hat, weil sie einen umfassenderen Überblick über ihre Bedrohungslandschaft benötigte. Die vorhandenen Informationsquellen boten nicht die nötige Granularität oder den Kontext, um kritische Risikoaktivitäten effektiv zu verfolgen. Infolgedessen hatte die Behörde Schwierigkeiten, ein strategisches, taktisches und operatives Verständnis ihrer Bedrohungslandschaft zu erlangen, was dazu führte, dass Bedrohungen unkontrolliert bleiben konnten und die Risiken für sensible Systeme und Netzwerke erhöhten.
Seitdem die Behörde über Censys Search auf Censys internet intelligence zugreifen kann, ist sie in der Lage, Bedrohungen proaktiver zu erkennen, die Widerstandsfähigkeit mit frischen Daten zu gewährleisten und ihre manuellen Prozesse zu automatisieren. Die Agentur sagt, dass Censys Search eine wesentliche Quelle für aktuelle und historische Informationen ist, die es ihr ermöglicht, die Infrastruktur sowohl proaktiv als auch rückwirkend zu verfolgen. Die Einblicke, die Censys Search bietet, haben es der Behörde auch ermöglicht, mehr Vertrauen in ihre Fähigkeit zu gewinnen, bösartige Indikatoren genau zu erkennen, was es ihren Teams ermöglicht, Bedrohungen frühzeitig zu erkennen und geeignete Gegenmaßnahmen zur Netzwerkverteidigung zu ergreifen.
In der nachstehenden Fallstudie erfahren Sie mehr darüber, wie diese hochrangige Regierungsbehörde Censys Search verwendet.
Fallstudie lesen
4. Identifizierung gefährdeter IoT-Geräte
Censys Search ist nicht nur ein wertvolles Instrument für das Verständnis der globalen Bedrohungslandschaft und die Durchführung von Bedrohungsabwehr Untersuchungen, sondern kann auch von Cybersicherheitsteams verwendet werden, um Schwachstellen und Gefährdungen zu identifizieren. Eine Organisation kann beispielsweise Censys Search verwenden, um sich zu fragen: Haben wir irgendwelche mit dem Internet verbundenen Geräte, die uns nicht bekannt sind? Jedes mit dem Internet verbundene Gerät kann als Einstiegspunkt in ein Netzwerk dienen, wenn es ungesichert bleibt.
Das Censys Research Team hat diese Frage selbst untersucht, indem es Censys Search verwendet hat, um mit dem Internet verbundene Drucker zu finden. Das Team durchsuchte den gesamten IPv4-Raum nach Hosts, auf denen das Internet Printing Protocol (IPP) läuft, indem es die Abfrage services.service_name="IPP" verwendete. Sie fanden heraus, dass über 270.000 Censys-sichtbare Drucker mit dem Internet verbunden waren. Sie waren auch in der Lage zu sehen, wo sich diese Drucker befanden, indem sie das Attribut "location.country" zu ihren Abfrageergebnissen hinzufügten.
Von dort aus könnte das Team die mit bestimmten Organisationen verbundenen Drucker betrachten, indem es einen CIDR-Block oder einen Bereich von IP-Adressen zu seiner Abfrage hinzufügt. Sie können feststellen, ob Ihre Organisation über Drucker verfügt, die Censys sehen kann, indem Sie services.service_name="IPP" AND ip:198.82.0.0/16 oder services.service_name="IPP" AND ip:[198.82.0.0 TO 198.82.255.255] zu Ihren Abfragen hinzufügen.
Lesen Sie den Forschungsartikel, um mehr darüber zu erfahren, wie unser Team Censys Search verwendet hat, um diese IoT-Geräte zu betrachten.
Artikel lesen
Möchten Sie mehr darüber erfahren, wie Ihr Team die Vorteile von Censys Search nutzen kann? Wir würden uns gerne mit Ihnen unterhalten. Besuchen Sie unsere Kontaktseite oder fordern Sie eine Demo an, um ein Gespräch zu beginnen!
