Ir al contenido
Nuevo Ebook: Obtenga hoy mismo su copia del manual "Libere el poder de la búsqueda" de Censys . | Descargar ahora
Blogs

Libere el poder de la búsqueda en Censys : Un vistazo a Censys Search en acción

Compartir

1 de noviembre de 2023
Etiquetas:

 

En la Parte I de nuestra serie de blogs "Libere el poder de Censys Search", leyó que las empresas, los gobiernos y los investigadores pueden acceder a nuestra inteligencia de Internet líder en la industria utilizando la herramienta Censys Search. (Si aún no ha tenido la oportunidad de leer el blog, ¡hágalo! En él encontrará consejos sobre cómo empezar a utilizar Censys Search).

En la segunda parte de nuestra serie, vamos a explorar diferentes formas de aprovechar nuestra inteligencia de Internet utilizando Censys Search. Y en lugar de hablar en términos hipotéticos, vamos a destacar las investigaciones de caza de amenazas reales y las iniciativas de investigación que se han llevado a cabo utilizando la herramienta.

Siga leyendo para ver ejemplos reales de cómo se ha utilizado Censys Search.

Censys Búsqueda en acción

1. Descubrir una red de programas espía

Investigadores del Citizen Lab de la Universidad de Toronto utilizaron Censys Search para comprender una red de programas espía que se utilizaba para atacar a trabajadores de derechos humanos, periodistas y activistas. Citizen Lab es un instituto de investigación que suele investigar las prácticas técnicas utilizadas para atacar a activistas y periodistas. Como parte de este esfuerzo continuo, Citizen Lab puso sus miras en Candiru, un actor ofensivo del sector privado conocido por vender programas espía que pueden instalarse en dispositivos Apple, Windows o Android. El objetivo de Citizen Lab era comprender la huella global de Candiru trazando un mapa de su infraestructura de mando y control, incluidas IP, dominios y certificados.

Citizen Lab utilizó en primer lugar Censys Search para encontrar un certificado autofirmado asociado a Candiru. Su equipo sabía que debía buscar un dominio específico: "candirusecurity[.]com" porque habían encontrado un registro corporativo de 2015 asociado a Candiru. El registro incluía un correo electrónico con el mismo dominio: "amitn@candirusecurity[.]com". Este hallazgo del certificado fue significativo porque permitió al equipo pivotar y utilizar las capacidades de búsqueda histórica de Censys Search para identificar direcciones IP que estaban históricamente asociadas con Candiru. El equipo iteró entre hosts IPv4 y certificados, sacando a la luz certificados de más de 750 sitios web que la infraestructura de spyware de Candiru estaba suplantando.

Citizen Lab también pudo utilizar Censys para encontrar una dirección IP perteneciente a una víctima del programa espía. Tras encontrar a la víctima y recuperar la muestra del programa espía, Citizen Lab pudo transmitirla a Microsoft. Microsoft utilizó entonces la muestra para identificar dos vulnerabilidades de escalada de privilegios no reveladas previamente y explotadas por el malware Candiru, así como para identificar a más de otros 100 defensores de los derechos humanos, periodistas, activistas y políticos que fueron objetivo del spyware Candiru.

Al relatar esta investigación sobre la caza de amenazas, el investigador de Citizen Lab Bill Marczak subrayó el papel que desempeñó Censys :

"La potente función de búsqueda y la gran cantidad de datos históricos hacen que Censys resulte muy útil para la atribución. Censys se utiliza en casi todas las investigaciones que llevamos a cabo."-Bill Marczak, Citizen Lab

Leer estudio de caso 

2. Descubrimiento de una red rusa de ransomware C2

Censys Los investigadores utilizaron Censys Search para descubrir pruebas creíbles de una red C2 rusa de ransomware. Como parte de una amplia investigación de caza de amenazas, el equipo de investigación de Censys generó un informe que mostraba los 1.000 productos de software más importantes actualmente observables entre los más de 7,4 millones de hosts que Censys podía ver en Rusia. Nueve de estos hosts contenían la herramienta de explotación Metasploit, que el equipo identificó utilizando la consulta (location.country= `Russia`) y services.software.product=`Metasploit`. Dado que Metasploit también es utilizado por muchos equipos legítimos de pruebas de penetración, Censys quiso investigar los nueve hosts en busca de otros indicadores de actividad nefasta. Al hacerlo, se encontraron con un host (al que el equipo llamó Host A) con una sospechosa herramienta Deimos C2. Pero como sólo se trataba de un host, siguieron investigando.

El equipo identificó otro host (Host F) con un certificado Posh C2, y fue este descubrimiento el que condujo a una respuesta HTTP con un kit de malware. Mediante un análisis histórico, el equipo determinó que el kit de malware estaba vinculado a un dominio del grupo MedusaLocker, que CISA ha identificado como un conocido grupo de ransomware. Con más pruebas de devoluciones de llamada a un monedero bitcoin, el equipo de investigación de Censys pudo determinar con una confianza razonable que Host F formaba parte de una red de ransomware C2.

En cuanto al host A, el equipo localizó un host en Ohio que también poseía la herramienta Deimos C2 descubierta en el host A. Aprovechando una vez más el análisis histórico, descubrieron que el host de Ohio poseía un paquete de malware con similitudes de software con el host ruso de ransomware que poseía PoshC2.

Encontrará más detalles sobre cómo Censys descubrió la red de ransomware C2, incluidas las consultas de búsqueda específicas de Censys que se utilizaron, en nuestro informe de investigación completo.

Leer el informe

3. Comprender el panorama de las amenazas con inteligencia de misión crítica

Censys La búsqueda es utilizada por numerosas organizaciones del sector público, incluidos gobiernos de todo el mundo, que son responsables de llevar a cabo trabajos de misión crítica. Recientemente hablamos con uno de nuestros clientes del sector público, una importante agencia gubernamental estadounidense, sobre cómo utilizan Censys. La agencia compartió que buscaron Censys porque necesitaban obtener una visión más completa de su panorama de amenazas. Sus fuentes de inteligencia existentes no proporcionaban la granularidad o el contexto necesarios para realizar un seguimiento eficaz de la actividad de riesgo crítico. Como resultado, la agencia tenía problemas para obtener una comprensión estratégica, táctica y operativa de su panorama de amenazas, lo que creaba oportunidades para que las amenazas quedaran sin control y aumentaba los riesgos para los sistemas y redes sensibles.

Desde que accede a la inteligencia de Internet de Censys a través de Censys Search, la agencia ha podido identificar amenazas de forma más proactiva, garantizar la resistencia con datos frescos y automatizar sus procesos manuales. En concreto, el organismo afirma que Censys Search ha sido una fuente esencial de información actual e histórica, que le ha permitido realizar un seguimiento de la infraestructura tanto de forma proactiva como retroactiva. La información que proporciona Censys Search también ha permitido a esta agencia ganar más confianza en su capacidad para detectar con precisión indicadores maliciosos, lo que permite a sus equipos identificar las amenazas en una fase temprana y tomar las contramedidas de defensa de red adecuadas.

Puede obtener más información sobre cómo este importante organismo público utiliza Censys Search en el siguiente estudio de caso.

Leer estudio de caso

4. Identificación de dispositivos IoT expuestos

Además de servir como una valiosa herramienta para comprender el panorama global de amenazas y llevar a cabo investigaciones de caza de amenazas, Censys Search también puede ser utilizado por los equipos de ciberseguridad para identificar vulnerabilidades y exposiciones. Por ejemplo, una organización puede utilizar Censys Search para preguntarse: ¿tenemos algún dispositivo conectado a Internet del que no seamos conscientes? Cualquier dispositivo conectado a Internet puede servir como punto de entrada a una red si no está protegido.

El equipo de investigación de Censys exploró esta cuestión por sí mismo utilizando Censys Search para descubrir impresoras conectadas a Internet. El equipo escaneó todo el espacio IPv4 en busca de hosts que ejecutaran el Protocolo de Impresión por Internet (IPP) mediante la consulta services.service_name="IPP". Descubrieron que había más de 270.000 impresoras visibles en Censys conectadas a Internet. También pudieron ver dónde se encontraban esas impresoras añadiendo el atributo "location.country" a los resultados de la consulta.

A partir de ahí, el equipo podría buscar impresoras asociadas a organizaciones específicas añadiendo un bloque CIDR o un rango de direcciones IP a su consulta. Puedes determinar si tu organización tiene impresoras que Censys pueda ver añadiendo services.service_name="IPP" AND ip:198.82.0.0/16 o services.service_name="IPP" AND ip:[198.82.0.0 TO 198.82.255.255] a tus consultas.

Consulte el artículo de investigación para obtener más información sobre cómo nuestro equipo utilizó Censys Search para ver estos dispositivos IoT.

Leer el artículo 

 

¿Le interesa saber más sobre cómo su equipo puede sacar partido de Censys Search? Nos encantaría charlar con usted. Visite nuestra página de contacto o solicite una demostración para iniciar una conversación. 

Sobre el autor

Rachel Hannenberg
Director de marketing de contenidos
Como responsable sénior de marketing de contenidos en Censys, Rachel Hannenberg se centra en crear contenidos que involucren e informen a la comunidad de Censys . Rachel ha trabajado en estrategia de contenidos de marketing durante casi una década, incluso en empresas B2B SaaS y en la educación superior.

Contenido similar

Ver todos los contenidos similares
Volver al Centro de Recursos
Soluciones de gestión de la superficie de ataque
Más información