Esta es una guía rápida con la sintaxis de consulta traducida para la nueva Censys Búsqueda 2.0 que es gratuita para los usuarios de la comunidad. Las siguientes consultas ayudan a los profesionales a identificar posibles activos y otras infraestructuras asociadas a SolarWinds Orion. Para obtener más información sobre el incidente de SolarWinds y su impacto global, consulte nuestro artículo detallado aquí.
1. Encuentre activos SolarWinds Orion expuestos en todo el mundo.
Esta búsqueda identifica los activos de SolarWinds Orion expuestos en Internet. Censys La búsqueda puede utilizarse para buscar aquellos activos expuestos que puedan pertenecer a su organización. Si encuentra un activo SolarWinds expuesto que es suyo, le recomendamos que siga la Directiva de Emergencia y la guía de CISA.
A continuación se muestra una comparación y traducción de la sintaxis de consulta entre la antigua aplicación de búsqueda Censys y Censys Search 2.0:
Antigua aplicación de búsqueda: En la antigua búsqueda de Censys , esto se limitaba a los servicios HTTP que se ejecutaban en los puertos 443 y 8080.
443.https.get.title: "SolarWinds Orion" O 80.https.get.title: "SolarWinds Orion" O 8080.http.get.title: "SolarWinds Orion"
Resultados (20 de mayo de 2021): 470
Nueva búsqueda 2.0: Nuevo Censys Search 2.0 escanea 2.500 puertos con detección automática de protocolos, lo que significa que puede identificar los servicios que se ejecutan en puertos no estándar.
services.http.response.html_title: "SolarWinds Orion"
Resultados (20 de mayo de 2021): 1,051
2. Buscar activos mediante certificados RDP asociados a "SolarWinds-Orion".
El exploit SolarWinds Orion aprovecha los hosts C2 que presentan certificados RDP, como se destacó en el análisis de FireEye en diciembre de 2020. Esta búsqueda identifica cualquier host en Internet que se identifique como "SolarWinds-Orion" a través de un certificado en RDP. Los hosts identificados en esta búsqueda pueden ser infraestructura de atacantes - informe y comparta esta información en los canales apropiados de intercambio de información sobre amenazas y/o posiblemente a las autoridades.
A continuación se muestra una comparación y traducción de la sintaxis de consulta entre la antigua aplicación de búsqueda Censys y Censys Search 2.0:
Antigua aplicación de búsqueda
3389.rdp.banner.tls.certificate.parsed.issuer_dn: "CN=SolarWinds-Orion"
Resultados (20 de mayo de 2021): 1
Nueva búsqueda 2.0
same_service("CN=SolarWinds-Orion" and services.service_name: RDP)
Resultados (20 de mayo de 2021): 1
3. Buscar cualquier certificado "SolarWinds-Orion" presentado a través de cualquier puerto.
A continuación se muestra una comparación y traducción de la sintaxis de consulta entre la antigua aplicación de búsqueda Censys y la nueva Censys Search 2.0.
Antigua aplicación de búsqueda
"CN=SolarWinds-Orion"
Resultados (20 de mayo de 2021): 48
Nueva Búsqueda 2.0: Con la Búsqueda 2.0, la detección automática de protocolos permite a Censys encontrar más servicios y certificados que en la antigua aplicación de Búsqueda.
"SolarWinds-Orion"
Resultados (20 de mayo de 2021): 670
Para obtener más información sobre la Búsqueda 2.0, consulte nuestro Centro de ayuda. Si está interesado en obtener más información sobre Censys Search 2.0, visite nuestro sitio web hoy mismo.