Internet de cara al público es un espacio vasto, interesante y complejo, y en Censys nos hemos propuesto ayudar a la gente a entender qué hay en él. Por eso hemos creado el mapa más completo, preciso y actualizado de la infraestructura mundial de Internet, al que llamamos Censys Internet Map.
Este mapa ofrece una visión incomparable de Internet. Ninguna otra fuente ofrece la misma amplitud y profundidad de exploración, ni el contexto que la acompaña. Esto hace que nuestros datos sean muy relevantes para los esfuerzos de ciberseguridad. Investigadores, empresas y gobiernos utilizan nuestros datos como parte de sus esfuerzos de caza de amenazas y gestión de la exposición.
Puede explorar los datos del mapa utilizando nuestra herramienta de búsquedaCensys . Censys Search es exactamente lo que parece: una herramienta para buscar en Internet. Tiene el mismo estilo que una barra de búsqueda típica y cualquiera puede acceder a una versión comunitaria de la misma visitando search.censys.io y creando una cuenta. Con una licencia de pago, los usuarios pueden desbloquear funciones avanzadas de Censys Search, como la búsqueda por patrones (más información a continuación), mayores límites de búsqueda, acceso a datos históricos y mucho más.
Como en cualquier motor de búsqueda, para obtener la información que buscas hay que saber qué preguntar. Y para hacerlo en Censys Search, hay que crear consultas Censys .
El paquete de inicio de la búsqueda: Un repaso a lo esencial
Las consultas son el "idioma" que habla Censys Search. Este lenguaje es bastante intuitivo, pero para aquellos que no conozcan Censys Search, entender las consultas más comunes puede ayudarles a encontrar lo que buscan incluso más rápido. Ten en cuenta que en Censys Search hay muchos filtros y campos de análisis sintáctico que te ayudarán a profundizar en los resultados de las consultas. El mejor lugar para encontrar una explicación completa y detallada de nuestro lenguaje de consulta es nuestra guía del lenguaje de búsqueda. En ella también encontrarás una lista completa de todos los campos en los que se pueden realizar búsquedas dentro de nuestro conjunto de datos (spoiler: hay muchos).
Dicho esto, considere lo siguiente como referencia rápida de algunos de los tipos más comunes de consultas en Censys :
Servicios:
Direcciones IP y subredes:
Sistemas autónomos:
Certificados:
Sistemas operativos y productos:
Haga clic a continuación para ver de un vistazo las consultas de búsqueda más comunes en Censys .
Subir de nivel: Combinación de entradas de consulta
Una vez dominadas las consultas básicas, es posible que desee realizar búsquedas más detalladas con consultas que combinen entradas. Por ejemplo, en lugar de limitarse a buscar un determinado tipo de servicio, puede buscar ese tipo de servicio en una ubicación concreta.
A continuación encontrará ejemplos de cómo combinar entradas:
Servicios en un lugar concreto:
services.service_name: MODBUS y location.country: Alemania
Anfitriones basados en coordenadas geográficas:
ubicación.coordenadas.latitud: 40.78955 y location.coordinates.longitude: -74.05653
Consejo profesional: Utilice nuestra función beta Map To Censys Beta para dibujar un recuadro sobre la zona geográfica de interés y haga clic en "Abrir en búsqueda" para ver los anfitriones de la zona.
Certificados no caducados para un dominio específico:
labels=`no caducado` y names: censys.io
Certificados autofirmados observados en los escaneos de hosts de Censys :
ever_seen_in_scan: true y etiquetas: "self-signed"
Certificados de confianza de una CA específica que caducan en un día concreto:
parsed.issuer.organization: "Let's Encrypt" y labels: "trusted" y parsed.validity_period.not_after: 2023-10-13
Rango específico de IPs:
ip: [1.12.0.0 a 1.15.255.255]
Un servicio específico en un puerto específico:
same_service(services.service_name: HTTP and services.port:1337)
Exploración de actividades nefastas y otros artefactos interesantes
Censys La búsqueda puede utilizarse para una exploración más avanzada de la infraestructura global de Internet, incluso con fines de caza de amenazas. De hecho, en Censys nuestros propios investigadores han utilizado Censys Search para descubrir pruebas de ransomware ruso, sobre el que puede leer aquí. Entre las consultas que pueden resultar útiles para una investigación más avanzada se incluyen las siguientes:
Directorios abiertos:
services.http.response.html_title: "Índice de /"
Cobalt Strike:
servicios.cobalt_strike: *
Routers MikroTik comprometidos:
services.service_name: MIKROTIK_BW y "HACKED"
Servicios en el puerto 53 que no son DNS:
same_service(services.port: 53 and not services.service_name: DNS) and services.truncated: false
Dispositivos de red con páginas de inicio de sesión expuestas:
same_service(labels:{network.device, login-page})
Si está a la caza de amenazas, puede que le interese descubrir la infraestructura de Mando y Control, y puede utilizar consultas como:
Deimos C2:
same_service((services.http.response.html_title="Deimos C2″ or services.tls.certificates.leaf_data.subject.organization="Acme Co") and services.port: 8443)
Posh C2:
services.tls.certificates.leaf_data.subject_dn: "C=US, ST=Minnesota, L=Minnetonka, O=Pajfds, OU=Jethpro, CN=P18055077"
Búsqueda avanzada con consultas Regex
Censys Los usuarios de búsqueda con una licencia de pago pueden ejecutar consultas de expresiones regulares (Regex) para desbloquear funciones de búsqueda avanzadas. Las consultas Regex ofrecen a los usuarios más flexibilidad para definir sus criterios de búsqueda. En lugar de enviar una consulta limitada a una única cadena estática, los usuarios pueden ejecutar consultas Regex que piden a Censys que identifique patrones en los datos.
Por ejemplo, un usuario de la Comunidad puede ejecutar una consulta que pregunte: "¿Qué hosts (sin nombre) con un servicio HTTP contienen una referencia a cualquier cadena que contenga .js?" utilizando la consulta de cadena estática: services.http.response.body:*.js*
Un usuario con una suscripción de pago a Censys Search podría ampliar sus criterios con una consulta que pregunte: "¿Qué hosts tienen una cabecera de ubicación HTTP que incluya la secuencia ../ (que es vulnerable a los ataques a través de directorios), seguida de uno de los tipos de páginas ejecutables más comunes como .js, .php o .asp?" utilizando la consulta Regex: services.http.response.headers.location=/.*(\.\./)+.*(\.asp||.php|\.js|\.cgi).*/
Las consultas Regex se utilizan mejor cuando las coincidencias de patrones simples no son suficientes, y son ideales para campos cuyos valores son cadenas largas. Los hosts populares para los que escribir expresiones Regex son "http.response.body" y "services.banner".
Otros ejemplos de consultas Regex son
Puede encontrar una guía sobre la sintaxis de las consultas Regex que explica cómo utilizar todas las barras invertidas, puntos y otros caracteres marcadores de posición, aquí.
Respuesta a incidentes: Consultas para un día cero
Censys La búsqueda también puede ser una herramienta valiosa a la hora de responder a un día cero. Cuando se produce una vulnerabilidad crítica, los equipos de seguridad necesitan saber si sus redes están afectadas. Para ello, pueden ejecutar consultas en Censys Search para determinar si los activos se han visto comprometidos por el ataque. Por ejemplo, durante el MOVEit CVE de este año, los usuarios podían ejecutar esta consulta en hosts para identificar activos potencialmente vulnerables:
services.http.response.favicons.md5_hash=af8bf513860e22425eff056332282560
Cuando se produce un día cero, el equipo de Censys Research despliega artículos de respuesta rápida que explican el alcance y el impacto del ataque, e incluyen las consultas que los usuarios pueden ejecutar para determinar si se han visto afectados.
Otros ejemplos de consultas de día cero son
Meta Pixel Trackers
Los clientes también han utilizado recientemente Censys Search para determinar la presencia de rastreadores Meta Pixel. El código Meta Pixel Javascript rastrea la actividad del usuario del sitio web a través de cookies; sin embargo, cuando está presente en sitios web relacionados con la atención sanitaria, la información del paciente puede enviarse a Meta, que no es un asociado comercial de las entidades cubiertas por la HIPAA. Para que Meta reciba cualquier dato del paciente, es necesario su consentimiento. Los clientes de Censys utilizaron la siguiente consulta para determinar la presencia del código Meta Pixel en sus sitios web:
services.http.response.body: "fbq('track', 'PageView');"
No hay que perderse en la traducción con CensysGPT
Censys puede ofrecer la mejor vista de Internet, pero sabemos que no es la única. Si está familiarizado con otros lenguajes de consulta, puede utilizar CensysGPT para convertir automáticamente sus consultas en consultas Censys . Puede acceder a CensysGPT directamente desde la página de inicio de Censys Search. Con CensysGPT, no hay necesidad de que los matices del lenguaje de consulta ralenticen su investigación. Pruébelo aquí: gpt.censys.io.
La punta del iceberg
Las consultas de búsqueda de Censys que hemos compartido aquí son sólo la punta del iceberg. Hay muchísimos tipos diferentes de consultas que los profesionales de la seguridad, las agencias gubernamentales y otras personas pueden realizar para encontrar lo que buscan. Y Censys Search tiene toda una serie de campos de indexación y análisis que se pueden utilizar para profundizar en un resultado de búsqueda y refinar una investigación.
Eche un vistazo a nuestro Threat Profiler's Playbook o a nuestro Where the Weird Things Are: Investigating Unusual Internet Artifacts with Censys Search ebook para más ejemplos de consultas.
¿Listo para consultar? Visite search.censys.io para empezar. Para desbloquear las capacidades de búsqueda avanzadas, póngase en contacto con nuestro equipo hoy mismo para obtener más información sobre las ventajas de una licencia de pago.
Más información
