Willkommen zurück zu Teil III unserer Serie "Entfesseln Sie die Kraft von Censys Search "! In dieser Serie werfen wir einen genaueren Blick auf die verschiedenen Möglichkeiten, wie Censys Search Benutzer das Beste aus ihrer Arbeit mit dem Tool machen können. In Teil I haben wir Ihnen Tipps gegeben, wie Sie mit Abfragen in Censys Search. In Teil II haben wir anhand von konkreten Beispielen gezeigt, wie Censys Search zur Unterstützung von Bedrohungsabwehr Untersuchungen und Forschungsarbeiten eingesetzt wurde. Im heutigen Blog konzentrieren wir uns auf den Wert des Zugriffs auf historische Daten über Censys Search . Alle Censys Search Nutzer haben die Möglichkeit, historische Daten einzusehen, um zu beobachten, wie sich Werte wie Hosts im Laufe der Zeit verändert haben. Die Tiefe der historischen Daten variiert je nach Censys Search Paket.
Lassen Sie uns untersuchen, warum eine historische Perspektive wertvoll sein kann und wie man sie in Censys Search erreichen kann.
Eine Reise in die Vergangenheit: Warum historische Daten wichtig sind
Im Bereich der Cybersicherheit kann es unglaublich nützlich sein, wenn man zurückblicken kann, wie sich die dem Internet ausgesetzten Anlagen im Laufe der Zeit verändert haben. Durch die Bewertung von Aktivitäten auf Anlagen wie Hosts im Laufe der Zeit können Sicherheitsteams die Spuren potenzieller Bedrohungen nachverfolgen und unvergleichliche Zusammenhänge erkennen, die sie in die Lage versetzen, fundiertere Entscheidungen darüber zu treffen, wie sie künftige Bedrohungen eindämmen und verhindern können.
Zu den Vorteilen dieser Art der historischen Betrachtung gehören:
1. Bedrohungsabwehr Bemühungen vorantreiben: Ein entscheidender Vorteil der historischen Perspektive ist die Möglichkeit, heimliche und anhaltende Bedrohungen aufzudecken, die bei der Echtzeitüberwachung möglicherweise unter dem Radar geblieben wären. Bedrohungen agieren oft im Verborgenen und hinterlassen subtile Spuren, die im Chaos der Live-Überwachung leicht übersehen werden könnten. Mit der Möglichkeit, die Uhr zurückzudrehen, können Bedrohungsjäger ein Scheinwerferlicht auf schlafende Bedrohungen werfen und deren Ruhephasen und potenzielles Wiederauftauchen verstehen. Diese proaktive Haltung ist von unschätzbarem Wert, um potenzielle Risiken im Keim zu ersticken, bevor sie sich zu vollwertigen Angriffen auswachsen. Lesen Sie weiter, um ein Beispiel dafür zu sehen, wie historische Ansichten bei einer von Censys geleiteten Untersuchung hilfreich waren Bedrohungsabwehr .
2. Verbesserung der Reaktion auf Vorfälle: Historische Ansichten dienen auch als forensisches Werkzeug, das bei der Untersuchung und Zuordnung von Cyber-Vorfällen hilft. Nach einem Angriff kann die Möglichkeit, historische Daten zu überprüfen, Teams dabei helfen, die Abfolge der Ereignisse zu rekonstruieren, den Ausgangspunkt der Kompromittierung zu identifizieren und die seitlichen Bewegungen von Angreifern innerhalb eines Netzwerks zu verfolgen. Diese forensische Fähigkeit dient nicht nur der Analyse nach einem Vorfall, sondern spielt auch eine entscheidende Rolle bei der Stärkung der Sicherheitslage, indem sie den Teams hilft, aus vergangenen Vorfällen zu lernen, damit sie ähnliche Vorfälle in Zukunft verhindern können.
3. Verstehen von Trends: Historische Betrachtungen helfen Sicherheitsteams und Forschern, mehr darüber zu erfahren, was Veränderungen bei Geräten, die dem Internet ausgesetzt sind, für die Sicherheitslage und den Zustand der Internetsicherheit insgesamt bedeuten könnten. Unser eigenes Forschungsteam hat vor kurzem untersucht, ob und wie offene Verzeichnisse, eine seit langem bekannte Art der Gefährdung, im Internet immer noch weit verbreitet sind. (Spoiler-Alarm: sie sind es.) Historische Ansichten unterstützen auch die Arbeit unseres Forschungsteams an Projekten wie dem jährlichen State of the Internet Report, der dabei hilft zu analysieren, wie das Internet im Laufe der Zeit sicherer wird oder nicht.
Verwendung von Censys Search zur Gewinnung eines historischen Überblicks
Als führender Anbieter von Internet-Informationen verfügt Censys über den umfassendsten, genauesten und aktuellsten Überblick über die globale Internet-Infrastruktur. Diese Übersicht hat es uns ermöglicht, die Aktivitäten in der globalen Internet-Infrastruktur im Laufe der Zeit zu verfolgen und zu beobachten, wie sie sich verändert hat. Nutzer unseres Tools Censys Search haben über die historischen Daten, die über unsere Web-UI und API verfügbar sind, ebenfalls Zugang zu dieser zeitlichen Ansicht.
Was bedeutet das in der Praxis? Auf jeder Host-Seite in Censys Search kann ein Benutzer in der oberen Navigationsleiste "Host History" auswählen, um eine Chronologie der Ereignisse im Zusammenhang mit der Host-Aktivität anzuzeigen. Zum Beispiel kann ein Benutzer sehen, wann Dienste zu Hosts hinzugefügt, Standorte aktualisiert und Felder geändert wurden, neben anderen Aktivitäten.
Nachstehend finden Sie ein Beispiel für eine Hostverlaufsansicht.
Wenn Sie den Verlauf eines Hosts beobachten, können Sie entweder eine Liste aller zeitlichen Aktivitäten betrachten (wie oben gezeigt) oder die Aktivitäten von zwei Zeitpunkten aus vergleichen. Um alle Beobachtungen zu sehen, die Censys zu den Diensten eines Hosts gemacht hat, auch solche, die zu keiner Änderung seiner Darstellung geführt haben, öffnen Sie die Registerkarte "Verlauf" und schalten Sie die Schaltfläche "Alle Beobachtungen anzeigen" auf blau. Um Aktivitäten zwischen zwei Zeitpunkten zu vergleichen, kreuzen Sie die Kästchen auf der linken Seite der zu vergleichenden Aktivität an und klicken Sie auf die Schaltfläche "Vergleichen". Ein Vergleich kann nützlich sein, wenn Sie feststellen wollen, ob und wie ein Host von einem Zero-Day betroffen ist.
Ein paar Worte zum Zugang: Wie bereits erwähnt, haben alle Nutzer von Censys Search Zugang zu historischen Daten! Kostenlose Community-Nutzer haben Zugang zu historischen Daten im Umfang von bis zu einer Woche, während Nutzer mit erweiterten Paketen Zugang zu robusteren historischen Daten haben, die drei Jahre zurückreichen. Forscher und Nutzer, die an unseren Daten-Downloads interessiert sind, können auf bis zu sieben Jahre historischer Daten zugreifen.
Nutzung historischer Daten in der Praxis
Das Censys Research Team hat kürzlich die Host-History-Funktion in Censys Search verwendet, um eine Untersuchung der NTC Vulkan-Infrastruktur zu ermöglichen. NTC Vulkan ist eine in Moskau ansässige Gruppe, die von zwei ehemaligen russischen Geheimdienstmitarbeitern gegründet wurde. Aus Berichten geht hervor, dass die Gruppe vom russischen Geheimdienst beauftragt wurde, offensive Cyber-Tools zu entwickeln, die u. a. dazu verwendet werden könnten, Wahlen anzugreifen und kritische Infrastrukturen zu attackieren.
Bei ihrer Untersuchung entdeckten die Forscher von Censys sechs Hosts, die zu NTC Vulkan gehören, und waren in der Lage, ein aktuelles und historisches Profil der dort gehosteten Tools und Software zu erstellen, was ein grundlegendes Profil des Unternehmens ergab. Durch eine historische Analyse konnte Censys beispielsweise einen GitLab-Server identifizieren, der von NTC Vulkan möglicherweise zur Entwicklung von Tools für den russischen GRU Sandworm (eine Cybereinheit des russischen Militärgeheimdienstes) genutzt wurde. Die Untersuchung der Historie der Hosts von NTC Vulkan half dem Team, mehr über die Kernfunktionen der Hosts und sogar über die Organisation selbst zu erfahren.
Lesen Sie unseren Artikel Discovery of NTC Vulkan Infrastructure für eine vollständige Analyse der Ergebnisse unseres Forschungsteams.
Wenn Sie Censys verfolgt haben, haben Sie wahrscheinlich auch gehört, dass wir über unsere Ermittlungen zu russischer Ransomware berichtet haben. Es gibt viele Details zu dieser Untersuchung zu berichten, die Sie hier in voller Länge nachlesen können. Da sich die Arbeit des Teams jedoch auf die Host-Historie bezog, nutzten sie eine historische Perspektive in Censys Search , um zu bestätigen, dass es sich bei dem, was sie beobachteten, tatsächlich um schändliche Aktivitäten handelte.
Das Team hatte einen verdächtigen Host mit einem PoshC2-Zertifikat identifiziert, der auch eine HTTP-Antwort mit einem Malware-Kit präsentierte. Durch eine historische Analyse des Malware-Kits konnte das Team feststellen, dass das Malware-Kit Monate zuvor "restoreassistance_net@decorous[.]cyou" an jede seiner Dateien angehängt hatte. Eine Google-Suche ergab, dass "@decorous[.]cyou" eine von der MedusaLocker-Gruppe verwendete Domäne ist, was durch eine CISA-Warnung bestätigt wurde.
Censys bewertete dies als "rauchenden Colt" und deutete diesen Host als Teil eines Ransomware-C2-Netzwerks an, wahrscheinlich als Angreifer oder Proxy (als Opfer ist dies möglich; die historische Analyse von Censyszeigt jedoch das Vorhandensein, die Entfernung und das erneute Auftauchen des PoshC2-Zertifikats sowie die Persistenz des Malware-Kits, das im Laufe der Zeit modifiziert wurde, was eher zu einem Angreifer passen würde, der seine Angriffsmethoden modifiziert).
Mit anderen Worten: Ohne diese historische Betrachtung hätten die Forscher von Censys die Aktivitäten auf Host F nur aus heutiger Sicht beobachten können und Änderungen im Zusammenhang mit dem PoshC2-Zertifikat und dem Malware-Kit übersehen.
Aus der Vergangenheit lernen, um die Zukunft zu sichern
Dem Internet ausgesetzte Anlagen und die Bedrohungen, die auf sie abzielen, entwickeln sich ständig weiter. Die Möglichkeit, zurückzublicken und zu sehen, wie sich die Aktivitäten im Zusammenhang mit diesen Anlagen verändert haben, bietet Sicherheitsexperten, Bedrohungsjägern und Forschern eine wichtige Grundlage, um Bedrohungen zu erkennen und Risiken zu bewältigen sowie Erkenntnisse zu gewinnen, die ihnen helfen, fundierte Entscheidungen zu treffen.
Prüfen Sie noch heute die historischen Daten auf Censys Search ! Gehen Sie zu search.censys.io, um mit der Suche zu beginnen oder sich für ein kostenloses Gemeinschaftskonto anzumelden.
Sind Sie an einem Upgrade von einem kostenlosen Konto interessiert? Wenden Sie sich an unser Team!
