Así que vas a cazar una amenaza... y quieres atrapar una grande (maliciosa).
Identificar la infraestructura maliciosa puede ser un objetivo de caza de amenazas especialmente desalentador. No es de extrañar que los atacantes que se empeñan en crear redes C2, sitios de phishing y dominios suplantados también sepan ocultar su rastro con tácticas que van desde el uso de VPN propias hasta servicios intermediarios comprometidos. Así que, incluso cuando la infraestructura maliciosa es visible, la atribución de la fuente puede seguir siendo un problema espinoso.
Dicho esto, existen herramientas como Censys Search que pueden hacer que el reto de rastrear y comprender la infraestructura maliciosa sea más factible. En las siguientes historias de usuarios, artículos prácticos y vídeos encontrarás ideas que puedes utilizar para informar, inspirar e incluso potenciar tu próxima investigación sobre infraestructuras maliciosas.
7 recursos que merece la pena leer (o ver)
1. Cómo identificar infraestructuras maliciosas: Demo Empecemos con un rápido tutorial en vídeo sobre cómo empezar a buscar infraestructuras maliciosas en Censys Search . Vea cómo uno de nuestros expertos lleva a cabo una búsqueda acelerada de infraestructura C2, utilizando filtros de geolocalización, etiquetas y pivotaje estratégico. Descubra cómo puede pasar rápidamente de una visión macro, a 10.000 pies, de todas las posibles instancias de C2, a algo mucho más granular y específico con sólo unas pocas consultas.
VIDEO
2. Seguimiento de la infraestructura Vidar con Censys Obtenga información de la investigación de nuestro equipo sobre la infraestructura Vidar, un tipo de malware que evolucionó a partir de Arkei y destaca como uno de los primeros ladrones capaces de extraer información del software 2FA y del navegador Tor. Vidar se ha asociado con Scattered Spider, conocido por tener como objetivo grandes organizaciones y servicios de asistencia informática. Dado que los servidores C2 de Vidar utilizan HTTP sobre TLS, incluyendo nombres de sujeto y de emisor (DN) codificados en los certificados, Censys pudo detectar 22 direcciones IP únicas vinculadas a campañas de Vidar.
A continuación, investigamos los métodos operativos de Vidar, incluida su capacidad única para recopilar datos de entornos seguros, y describimos las firmas de red específicas y los rasgos del servidor C2 que pueden rastrearse mediante Censys Search.
Leer el artículo
3. Datos C2 del ransomware ruso descubiertos en Censys Data Censys identificaron una red de hosts rusos que utilizaban herramientas como Metasploit y PoshC2 para operaciones de mando y control, y que estaban vinculados a ataques de ransomware. En la investigación se utilizaron técnicas avanzadas de escaneado y análisis de datos en Censys Search para rastrear la actividad de la red en varios países, lo que ofreció información para identificar y combatir amenazas tan sofisticadas.
En este resumen de la investigación, nuestro equipo describe con detalle específico cada paso que dieron para identificar y recopilar más contexto sobre estos hosts. La clave del éxito de esta investigación fue la capacidad de pivotar sobre la nueva información y aprovechar estratégicamente los datos del historial del host para analizar un kit de malware. Consulte el artículo completo para obtener más información y acceder a las consultas e informes que el equipo utilizó durante la investigación.
Lea la investigación
4. Fuzzy Matching para encontrar dominios sospechosos La suplantación de dominios sigue siendo un problema persistente para los equipos de seguridad, y a menudo es difícil identificar a los suplantadores a tiempo. En este artículo, aprenda a identificar y mitigar de forma proactiva las amenazas de suplantación de dominios que ponen en peligro la seguridad de los usuarios.
Utilizando técnicas de "coincidencia difusa" como la distancia Levenshtein en combinación con los datos de Censys y BigQuery de Google, se pueden detectar y bloquear eficazmente los dominios que se asemejan mucho a los legítimos, mejorando así sus medidas de ciberseguridad. Este enfoque no solo acelera la detección de este tipo de amenazas, sino que también mejora la precisión a la hora de apuntar únicamente a los dominios más sospechosos.
Leer el artículo
¿Le interesa un tutorial? Vea cómo uno de nuestros investigadores de Censys explica cómo aplicar estos principios de correspondencia difusa en la práctica.
VIDEO
5. Amenaza Intel Pivoting Using Censys
Un usuario de Censys nos cuenta cómo descubrió la infraestructura de clústeres de un grupo de ciberespionaje mediante la búsqueda de nodos en Censys Search. Con solo un primer nodo conocido, el usuario describe cómo pudo entrar en Censys Search para identificar posteriormente el número de puerto, los patrones, el nombre de la herramienta, el proveedor de host y los certificados. Con esta información, el usuario hizo doble clic en la huella digital de la clave SSH, pivotó para aprender más sobre el proveedor de alojamiento y continuó pivotando basándose en los hallazgos. Echa un vistazo al artículo para ver un recorrido completo de cómo fueron capaces de profundizar en el actor de la amenaza de ciberespionaje Muddy Water.
Leer el artículo
6. Exposición de la infraestructura C2 de un proveedor de software espía
Citizen Lab, un instituto de investigación de la Universidad de Toronto, creía que el proveedor de programas espía Candiru se hacía pasar por organizaciones conocidas para atacar a periodistas y activistas de derechos humanos. Candiru afirma que sus productos son "imposibles de rastrear", lo que dificultaría especialmente la localización de dominios, certificados y otras infraestructuras C2 asociadas a su software. Sin embargo, esa afirmación no disuadió a Citizen Lab, que se propuso identificar la infraestructura C2 del proveedor de software espía y comprender su huella global.
Utilizando Censys Search, Citizen Lab identificó un certificado autofirmado asociado a Candiru, lo que les permitió consultar la dirección IP que servía el certificado autofirmado. A partir de ahí, el equipo alternó entre la búsqueda de hosts y certificados en Censys Search para identificar finalmente más de 750 sitios web suplantados por Candiru. Consulte el estudio de caso para obtener más información sobre la investigación de Citizen Lab.
Lea el estudio de caso
7. Guía para principiantes sobre el rastreo de infraestructuras de malware
Si lo que te preocupa es el malware, no busques más allá de esta completa (nos atreveríamos a decir inigualable) guía para rastrear infraestructuras de malware, cuyo autor invitado es Embee Research. Este artículo ofrece instrucciones detalladas, paso a paso, sobre cómo seguir todo tipo de estrategias para cazar malware en Censys Search, con consultas específicas y capturas de pantalla.
Por ejemplo, la guía explica cómo buscar infraestructuras que utilicen certificados TLS, que los actores de amenazas y los desarrolladores de malware utilizan para cifrar la comunicación y establecer conexiones entre un host objetivo y una infraestructura maliciosa. Censys cuenta con el mayor repositorio de certificados x.509 del mundo, por lo que si hay un certificado TLS al que se dirige un actor de amenazas, Censys puede verlo.
Es importante destacar que los usuarios de Censys Search también pueden acceder a las configuraciones TLS de servidores o dominios maliciosos conocidos y, a su vez, identificar patrones y similitudes en los parámetros TLS. Esto puede ayudar a los usuarios a rastrear y atribuir la infraestructura maliciosa a actores o grupos de amenazas específicos.
Lea la Guía
Sigue explorando
¿Le interesa saber más sobre cómo acelerar sus investigaciones de amenazas? Echa un vistazo a nuestro seminario web a petición, Inteligencia de amenazas con Censys Search y ChatGPT para descubrir cómo aprovechar el poder de la IA generativa para cazar amenazas.
Más información
