Zum Inhalt springen
Besuchen Sie Censys für einen Bedrohungsabwehr Workshop & Happy Hour! | 17. April in der City Winery in Philadelphia | Jetzt anmelden
Blogs

Anwenderberichte: Untersuchung von Cyber-Bedrohungen mit Censys Search

Die umfangreiche Sammlung von Internet-Scandaten, die über Censys Search zugängliche umfangreiche Sammlung von Internet-Scandaten wird für viele verschiedene Cybersicherheits- und Forschungszwecke verwendet. Praktiker können Censys Search nutzen, um verwundbare Dienste zu identifizieren, Sicherheitsteams können Protokolle mit aktuellen Informationen über Hosts und Zertifikate anreichern, und Forscher können die von uns angebotene globale Übersicht nutzen, um Trends in der Internetaktivität zu erkennen.

Die reichhaltigen, kontextualisierten Daten auf Censys Search können auch zur Untersuchung von Cyber-Bedrohungen verwendet werden. Benutzer können sich nicht nur an Censys wenden, um festzustellen, ob sie von einer Zero-Day-Lücke betroffen sind (das Censys Research-Team veröffentlicht regelmäßig Anleitungen dazu), sondern sie können auch die Daten von Censys nutzen, um potenzielle Gegner zu verfolgen, bevor Maßnahmen ergriffen werden, um Zeitleisten zu erstellen, um zu verstehen, wie ein Angriff ablief, und um mehr darüber zu erfahren, wer verantwortlich sein könnte.

In unserem heutigen Beitrag stellen wir Ihnen Berichte von Censys Search Nutzern vor, die berichten, wie sie das Tool zur Verhinderung und Untersuchung von Bedrohungen einsetzen. 

Hinweis: Sind Sie ein aktueller Censys Search Community-Benutzer? Dann beachten Sie bitte unseren Hinweis für Community-Nutzer am Ende dieses Beitrags.

1. Aufspüren der Hacker hinter Malware

Ende 2021 wurde ein in Indien ansässiges IT-Dienstleistungsunternehmen zum Ziel eines umfassenden Malware-Angriffs. Eine Hackergruppe verschaffte sich Zugang zu mehr als einem Dutzend kundenorientierter Websites des Unternehmens, nachdem sie erfolgreich in den Hosting-Anbieter eingedrungen war. Nachdem sie sich Zugang verschafft hatte, infizierte die Gruppe die Websites des Unternehmens mit Malware, leitete den Datenverkehr um und generierte Tausende von Junk-HTML-Seiten. Dies alles war Teil einer negativen SEO-Kampagne, wie das Unternehmen später feststellte. Wie der CEO des Unternehmens gegenüber Censys berichtete, bedeuteten die Ergebnisse dieser Malware-gesteuerten, negativen SEO-Kampagne, dass die betroffenen "Websites im Wesentlichen zerstört wurden".

Das Unternehmen war von den Auswirkungen des Einbruchs betroffen und suchte nach Verantwortlichkeiten und beschloss, Nachforschungen anzustellen. Glücklicherweise hatten sie Apache-Protokolldateien heruntergeladen, bevor ihre Websites vollständig kompromittiert wurden, und konnten so die von anderen Computern ausgehenden Anfragen sehen. Mit diesen Dateien in der Hand und dem Wissen um die Domäne, von der aus die Kriminellen operierten, machte sich das Unternehmen daran, eine Verbindung zwischen den IP-Adressen in den Protokolldateien und der bekannten Domäne herzustellen.

Das Unternehmen war in der Lage, die umfangreichen Hostdaten in Censys Search zu nutzen, um schnell eine Suche nach allen Hosts durchzuführen, die mit dieser spezifischen Domain verbunden waren. Der Host-Datensatz Censys bietet genaue, aktuelle Datensätze, die die Realität der öffentlichen IPv4- und IPv6-Hosts sowie der virtuellen Hosts widerspiegeln, so dass gründliche Ermittlungsabfragen zu Hosts durchgeführt werden können. Nach Überprüfung der übereinstimmenden Host-Rückgaben konnte das Unternehmen nachweisen, dass die IP-Adresse in den Protokolldateien tatsächlich von Hosts stammt, die zu dieser Domäne gehören. Mit dieser Verbindung war das Unternehmen in der Lage, seine Erkenntnisse den Strafverfolgungsbehörden für mögliche weitere Maßnahmen zu übermitteln.

2. Bekämpfung von Phishing-Kampagnen

KI hat es Hackern leichter denn je gemacht, ausgefeilte und effektive Phishing-Kampagnen in großem Maßstab zu starten.

Um diese Phishing-Kampagnen proaktiv zu erkennen und zu blockieren, nutzt der Anbieter von E-Mail-Sicherheitslösungen Proofpoint regelmäßig Censys Search . In einem kürzlich abgehaltenen Webinar mit Censys beschrieb Greg Lesnewich, Senior Threat Researcher bei Proofpoint, wie die Daten, auf die Censys Search zugreift, seinem Team helfen, die Zeit bis zur Erkennung und die Wirksamkeit gegen Phishing-Kampagnen zu verbessern.

So kann Proofpoint beispielsweise mit Censys nach allen Instanzen gängiger Phishing-Tools wie "GoPhish" suchen und die Software identifizieren, mit der diese Tools ausgeführt werden. Sie können dann Censys Search verwenden, um DNS-Datensätze und Zertifikate zu überprüfen, und die Berichtsfunktionen von Search nutzen, um die Zertifikatsblattdaten zu analysieren und verdächtige Namen zu identifizieren, die hier erscheinen. Von dort aus können sie entweder diese kleinere Untergruppe von verdächtigen Namen von ihren Systemen blockieren oder Warnmeldungen einrichten, falls diese Adressen versuchen, durchzukommen.

Proofpoint sagt, dass die detaillierten Ermittlungen und die Automatisierungsmöglichkeiten, die Censys ermöglicht, einen erheblichen quantifizierbaren Wert darstellen.

"Wir hatten eine 35%ige Verbesserung der Zeit bis zur Erkennung und Wirksamkeit für eine bestimmte APT-Gruppe durch die automatisierte Aufnahme der Infrastruktur mit Censys." - Greg Lesneswich, Senior Threat Researcher, Proofpoint

3. Datenauswertung zum Nachweis von C2

Neben der Bekämpfung von Phishing-Kampagnen teilt Proofpoint mit, dass sie auch regelmäßig die Internet-Scandaten auf Censys Search auswerten, um mehr über C2-Server zu erfahren. Sie beschreiben Censys als eine wertvolle "Sichtbarkeitserweiterung", die es ihnen ermöglicht, C2-Infrastrukturen zu verfolgen und zu identifizieren, bevor ihr Unternehmen oder ihre Kunden in Mitleidenschaft gezogen werden.

In einem Beispiel konnte Proofpoint mit Censys mehr über einen potenziellen C2-Server erfahren, der ein benutzerdefiniertes binäres Protokoll verwendete. Proofpoint nutzte das Wissen über benutzerdefinierte Binärprotokolle (z. B. die sich ständig ändernden Werte), um die Untersuchung des verdächtigen C2-Servers auf Censys Search zu lenken. Nach der Durchführung von Abfragen zu den interessierenden Ports konnte Proofpoint seinen Fokus auf nur sieben potenziell bösartige IPs einschränken. Mit dieser kleineren Untergruppe konnte dann ein Alarmierungsprozess eingerichtet werden. Wenn eingehender Datenverkehr von einer der sieben IPs kam, konnte Proofpoint die Aktivität kennzeichnen und schnell reagieren.

Sie können das vollständige On-Demand-Webinar mit Proofpoint hier ansehen: Wie Proofpoint Phishing mit Censys bekämpftSearch.

Möchten Sie selbst nach C2s suchen? Sehen Sie sich diese Censys Search Ergebnisse für häufige C2s an:

Mehr Inspiration für Anwendungsfälle

Es gibt viele Möglichkeiten, wie Sie Censys Search optimal nutzen können. Die folgenden Ressourcen bieten nur einen kleinen Einblick, wie Censys Search genutzt werden kann, um Ihr Eigentum zu schützen und Bedrohungen zu untersuchen.

Sie können Ihren Zugang zu Censys Search auf Ihre speziellen Bedürfnisse abstimmen. Unsere Censys Search Community-Version ist eine großartige Option für diejenigen, die nur den Einstieg suchen. Für Bedrohungsjäger, Incident Responder, Mehrfachnutzer, Forscher und Personen mit fortgeschritteneren Anforderungen ist jedoch eines unserer Pakete Solo, Teams oder Pro/Advanced/Premium wahrscheinlich die bessere Wahl. Diese Pakete bieten den Zugang und die Funktionen, die für eine gründlichere Cybersicherheits- und Forschungsarbeit oft erforderlich sind.

Mehr über die Möglichkeiten von Censys Search erfahren Sie hier.

Eine Erinnerung an Censys Search Community-Nutzer

Vor kurzem haben wir bekannt gegeben, dass wir Änderungen an unserer aktuellen Censys Search Community-Version vornehmen werden. Wir werden nämlich den API-Zugang nach 60 Tagen einstellen. Dies gilt sowohl für neue Community-Nutzer als auch für bestehende Community-Nutzer. Das bedeutet, dass Community-Nutzer, die ihre Censys Search Community-Konten am oder vor dem 6. Dezember 2023 erstellt haben - dem Datum, an dem unsere Selbstbedienungspakete eingeführt wurden - nach dem 5. Februar 2024 keinen API-Zugang mehr haben werden .

Jeder Community-Nutzer, der nach dem 6. Dezember 2023 ein Community-Konto erstellt hat, hat 60 Tage lang nach seinem Registrierungsdatum Zugang zur API.

Mehr über diese Änderungen erfahren Sie in unserem aktuellen Blog.

Wie immer sind wir Ihnen für Ihr Verständnis und Ihre Mitarbeit dankbar, da wir uns bemühen, einen hohen Servicestandard aufrechtzuerhalten!

Wenn Sie mehr darüber erfahren möchten, wie Sie Ihr Konto auf Censys Search erweitern können, besuchen Sie bitte unsere Preisseite.

 

Sonderangebot: Erhalten Sie 10% Rabatt auf Ihr Jahresabonnement für Censys Search Solo oder Censys Search Teams! Unser Code ANNUALDISCOUNT wird automatisch eingefügt, wenn Sie an der Kasse ein Jahresabonnement auswählen.

 

Mehr tun in Censys Search 

 

Über den Autor

Rachel Hannenberg
Leiterin für Content Marketing
Als Content Marketing Manager bei Censys konzentriert sich Rachel Hannenberg auf die Erstellung von Inhalten, die die Censys Community ansprechen und informieren. Rachel Hannenberg arbeitet seit fast einem Jahrzehnt im Bereich der Marketing-Inhaltsstrategie, unter anderem bei B2B-SaaS-Unternehmen und im Hochschulbereich.

Ähnlicher Inhalt

Zurück zu Ressourcen Hub
Lösungen für das Management von Angriffsflächen
Mehr erfahren