Ir al contenido
Pr√≥ximo seminario web: Libere el poder de la b√ļsqueda en Censys con Em Averton | 27 de junio a las 13:00 ET | Reg√≠strese ahora
Blogs

Encontrar servidores web pirateados con Censys Search ūüĒć

Seg√ļn el Informe de Verizon sobre investigaciones de filtraciones de datos de 2022, los servidores web son el activo m√°s com√ļnmente afectado en las filtraciones. Esto no es sorprendente, despu√©s de todo, los servidores web a menudo constituyen la mayor parte de la infraestructura de Internet de una organizaci√≥n, y por lo tanto son m√°s propensos a estar expuestos que otros tipos de activos digitales.

Encontrar servidores web pirateados puede ser √ļtil de varias maneras:

  • Los defensores pueden rastrear a los autores de las amenazas mientras trabajan, lo que significa que pueden localizar r√°pidamente los hosts afectados y actuar de inmediato antes de que se produzcan m√°s da√Īos.
  • Los investigadores pueden rastrear los servidores inseguros y vigilar las tendencias en el comportamiento y la metodolog√≠a de los adversarios, aprendiendo de estos ataques para, con suerte, prevenir futuros ataques similares.

Existen infinidad de métodos para buscar servidores web afectados. En este artículo, le mostraremos una forma de encontrar servidores web hackeados utilizando Censys Search para empezar. Navega a search.censys.io para seguirnos.

B√ļsqueda de servidores web pirateados en Censys Search

Empezaremos con una de las formas m√°s sencillas de encontrar servidores web desfigurados: buscar la cadena "hackeado por". Los actores de amenazas suelen "firmar su trabajo" dejando un mensaje en un sitio web, como "Hackeado por [nombre del actor]". Es como la firma de un artista en una obra de graffiti. Por suerte, estas firmas ayudan a los defensores e investigadores que buscan servidores web afectados. Podemos utilizar Censys para buscar estos sitios afectados en todo el mundo simplemente buscando defacements.

Nuestra sencilla consulta restringir√° los resultados a los servidores HTTP visibles en Censys que incluyan la cadena "hackeado por" en su interfaz web. Podemos incluir hosts virtuales en estos resultados de b√ļsqueda activando primero el icono de engranaje en la p√°gina de inicio de la b√ļsqueda y seleccionando "Virtual Hosts: Incluir" como se ve a continuaci√≥n.

A continuaci√≥n, podemos ejecutar nuestra b√ļsqueda escribiendo esta consulta y haciendo clic en "Buscar":

services.service_name=`HTTP` and services.http.response.html_title: "hackeado por"

Esto capturará todos los hosts visibles en Censys que ejecuten HTTP, independientemente del puerto TCP en el que se esté ejecutando.

A juzgar por los resultados de la b√ļsqueda y el texto resaltado, se puede ver inmediatamente que estamos descubriendo algunas joyas con este enfoque.

La comprobaci√≥n puntual de los resultados de b√ļsqueda se puede utilizar para confirmar el valor de este enfoque, ya que tiene una alta tasa de verdaderos positivos. Cuando acceda a estos hosts, aseg√ļrese de utilizar un m√©todo seguro como una VPN, proxychains o Tor.

Podemos reducir a√ļn m√°s estos resultados en funci√≥n de lo que nos interese. Algunos filtros adicionales que puede que desee a√Īadir en casos de uso espec√≠ficos:

  • Si gestiona una red (por ejemplo, una universidad, una empresa de alojamiento o un proveedor de servicios de Internet) o necesita clasificar informes para sus clientes, puede restringir esta consulta. Por ejemplo, si trabaja en una organizaci√≥n CSIRT nacional, puede filtrar por el atributo "location.country" (por ejemplo, a√Īada "AND location.country: [su pa√≠s]" a la consulta anterior).
  • Si trabajas para un gobierno estatal y ayudas a tu organizaci√≥n a identificar eventos de hacking de √©xito, puedes filtrar por el atributo "location.city".
  • Si utiliza un proveedor de servicios de Internet, puede filtrar por su n√ļmero de sistema aut√≥nomo utilizando el atributo "autonomous_system.asn: [su asn]". Utilizando la API puedes hacer estas llamadas de forma regular y mantenerte actualizado a medida que encontremos estos servidores.

Para los defensores: Qué hacer si encuentra servidores pirateados vinculados a su organización

Versión reactiva: se responde a una infracción a posteriori

Si est√°s haciendo control de da√Īos, tienes un peque√Īo reto por delante. Sin embargo, hay una gran cantidad de gu√≠as √ļtiles y herramientas de personas que han estado en tus zapatos (y hay muchos que lo han hecho, ¬°no est√°s solo!) que pueden ser √ļtiles si est√°s reaccionando a una violaci√≥n. Tanto Dreamhost como Sucuri ofrecen gu√≠as sobre c√≥mo limpiar un sitio web despu√©s de un hackeo.

Inicialmente, tendr√° que eliminar el contenido problem√°tico, restaurar el sitio a partir de una copia de seguridad, cerrar las brechas de seguridad que ha descubierto despu√©s de rastrear el ataque (s), y a√Īadir algunas herramientas de seguridad a su alrededor con el fin de evitar futuros problemas. Lo ideal ser√≠a reaccionar reinstalando los sistemas infectados en una plataforma actualizada y segura, pero somos conscientes de que a menudo no es una opci√≥n realista para la mayor√≠a de las empresas.

Como Censys nunca intenta acceder a ninguno de los hosts de Internet (creemos firmemente en la buena ciudadanía en Internet), no recopilamos datos sobre cómo se piratea un servidor. Sin embargo, los datos de Censys pueden ayudarle a identificar las posibles rutas que siguió un adversario para acceder a su sistema. Un ejemplo sería que quizás un atacante dejó el FTP activado, lo que podrías ver con un poco de análisis forense. Este análisis creativo es clave para que puedas determinar qué ocurrió para cerrar la brecha de seguridad y evitar que vuelva a ocurrir. Censys puede darte la visibilidad crítica de los servicios expuestos a Internet que necesitas en tus esfuerzos de caza de amenazas y ayudarte a encontrar rastros y comportamientos de atacantes para rastrear, pivotar y proteger tu organización.

Sin el conocimiento de que tiene servidores web hackeados vinculados a su organizaci√≥n, los actores de amenazas podr√≠an seguir da√Īando sus sistemas durante a√Īos. As√≠ que, aunque descubrir que ha sido afectado por adversarios puede parecer una derrota, ha hecho el trabajo de localizar esos hosts problem√°ticos y abordar la brecha de seguridad antes de que se haga m√°s grande.

Para investigadores: Descubra y siga las tendencias en Internet

Si eres investigador, los tipos de datos sobre tendencias de seguridad que puedes descubrir en Censys pueden ser muy √ļtiles para los proyectos de investigaci√≥n existentes y para idear nuevos proyectos.

Un primer paso sugerido es comenzar a explorar tendencias interesantes de seguridad en todo Internet analizando datos a escala global con b√ļsquedas en Censys , apoy√°ndose en nuestra funci√≥n de creaci√≥n de informes:

Construyamos un informe a partir de los resultados de b√ļsqueda que descubrimos anteriormente en este post, agregando por el pa√≠s en el que est√° alojado cada servidor web utilizando el campo "location.country". Podemos hacer que los datos sean m√°s o menos granulares ajustando el campo "Number of Buckets".

Este informe revela que Estados Unidos domina, con un 3,46% de los servidores pirateados alojados en este país.

Pero este gr√°fico por s√≠ solo es enga√Īoso. Si todo lo que hici√©ramos fuera tomar esos resultados al pie de la letra y hacer interpretaciones en torno a ellos, probablemente sacar√≠amos algunas conclusiones falsas. Una distinci√≥n importante en este informe es que los hosts no est√°n distribuidos uniformemente por todo el mundo. EE.UU. alberga gran parte del espacio de direcciones IPv4, por lo que los datos de esta tendencia pueden estar injustamente sesgados hacia ese pa√≠s. Pi√©nsalo de esta manera: si dos pa√≠ses tienen cada uno 20 servidores que informan de haber sido "pirateados por", pero el primer pa√≠s tiene 100 servidores y el segundo tiene 10.000, eso supone una tasa del 20% frente a una tasa del 0,2% de casos de "pirateo por".

Lo que tenemos que hacer es empezar a a√Īadir contexto a la imagen. En este ejemplo, uniremos dos conjuntos de resultados de Censys:

  1. N√ļmero de servidores HTTP con la cadena "hackeado por" por pa√≠s
  2. N√ļmero total de hosts que ejecutan HTTP por pa√≠s (v√©ase la figura siguiente)

When we scale the ‚Äúhacked by‚ÄĚ values (the first data set) by the number of web servers in each country (the second set), filtering out countries where the former value is trivially small (n<5), we see a different picture.

Las tablas 1 y 2 desglosan los 10 primeros y los 10 √ļltimos casos de "hackeo por" servidores web per c√°pita de esos pa√≠ses. Sorprendentemente, Indonesia lidera el grupo en porcentaje de poblaci√≥n, con una tasa que casi triplica la de Singapur, que ocupa el segundo lugar, pero esto puede deberse a la menor poblaci√≥n de servidores web en ese pa√≠s en comparaci√≥n con Singapur.

Cuadro 1: Los 10 países más afectados per cápita de servidores web

Italia, por el contrario, tiene la tasa m√°s baja de servidores web desfigurados desde nuestro punto de vista. Es interesante estudiar los diversos factores que pueden explicar estos resultados, lo que puede indicar la oportunidad de realizar un estudio m√°s amplio.

Tabla 2: Los 10 países menos afectados Servidores web per cápita

Estos datos pueden conducir a una pregunta más amplia: qué atributos, normativas y tendencias sociales podrían influir en que Indonesia o Islandia, por ejemplo, tengan más sitios web pirateados per cápita que otros países. Como puede imaginarse, los datos de Internet por sí solos no bastan para demostrar la causalidad, pero pueden utilizarse para reunir tendencias de datos interesantes en apoyo de una gran variedad de proyectos de investigación.

Una perspectiva global de la seguridad en Internet

Los datos de Internet pueden revelar lo que no sabemos sobre nuestra propia organización, al tiempo que revelan tendencias de datos en tiempo real que cuentan una historia más amplia sobre la seguridad mundial en Internet.

Encontrar servidores web pirateados es sólo un ejemplo sencillo que esperamos le haga pensar de forma creativa sobre cómo puede utilizar los datos deCensys . Nuestra amplia perspectiva global y la profundidad de los datos de seguridad relevantes que ponemos a su disposición le permitirán obtener la visibilidad necesaria para mejorar la seguridad.

Una versión anterior de este artículo, escrita para Censys Search 1.0, apareció en los archivos de nuestro blog. Este tutorial está actualizado con las características de Search 2.0 en el momento de su redacción.

Sobre el autor

Himaja Motheram
Investigador de seguridad
Himaja Motheram es investigador de seguridad en Censys y trabaja para responder a preguntas interesantes sobre Internet utilizando los datos de b√ļsqueda de Censys .

Contenido similar

Volver al Centro de Recursos
Soluciones de gestión de la superficie de ataque
Más información