Bienvenido a la tercera parte de nuestra serie "Libera el poder de Censys Search". En esta serie, examinaremos más de cerca las distintas formas en que los usuarios de Censys Search pueden sacar el máximo partido a la herramienta. En la primera parte, proporcionamos consejos para empezar a realizar consultas en Censys Search. En la Parte II, compartimos ejemplos reales de cómo se ha utilizado Censys Search para apoyar las investigaciones de caza de amenazas y los esfuerzos de investigación. En el blog de hoy, nos centraremos en el valor de acceder a datos históricos a través de Censys Search. Todos los usuarios de Censys Search tienen la posibilidad de consultar datos históricos para observar cómo han cambiado activos como hosts a lo largo del tiempo. La profundidad de los datos históricos varía según los paquetes de Censys Search.
Profundicemos en por qué una perspectiva histórica puede ser valiosa y cómo conseguirla en Censys Search.
Viajar en el tiempo: por qué son importantes los datos históricos
En el ámbito de la ciberseguridad, la capacidad de ver cómo han cambiado con el tiempo los activos expuestos a Internet puede ser increíblemente útil. Al evaluar la actividad en activos como hosts a lo largo del tiempo, los equipos de seguridad pueden rastrear las huellas de amenazas potenciales y obtener un contexto sin precedentes que les permita tomar decisiones más informadas sobre cómo mitigar y prevenir futuras amenazas.
Las ventajas de este tipo de visión histórica incluyen:
1. Avanzar en los esfuerzos de caza de amenazas: Una ventaja clave de obtener una perspectiva histórica es la capacidad que proporciona para descubrir amenazas sigilosas y persistentes que pueden haber pasado desapercibidas durante la supervisión en tiempo real. Las amenazas a menudo operan en la sombra, dejando rastros sutiles que podrían perderse fácilmente en el caos de la supervisión en directo. Con la capacidad de rebobinar el reloj, los cazadores de amenazas pueden iluminar las amenazas latentes, comprender sus fases de latencia y su posible resurgimiento. Esta actitud proactiva es inestimable para cortar de raíz los riesgos potenciales antes de que se conviertan en ataques en toda regla. Siga leyendo para ver un ejemplo de cómo las vistas históricas ayudaron a una investigación real de caza de amenazas dirigida por Censys.
2. Mejora de la respuesta a incidentes: Las vistas históricas también sirven como herramienta forense, ayudando en la investigación y atribución de incidentes cibernéticos. Tras un ataque, la capacidad de revisar los datos históricos puede ayudar a los equipos a reconstruir la secuencia de los acontecimientos, identificar el punto inicial de compromiso y rastrear el movimiento lateral de los adversarios dentro de una red. Esta capacidad forense no se limita al análisis posterior a un incidente, sino que también desempeña un papel fundamental en el refuerzo de la postura de seguridad al ayudar a los equipos a aprender de incidentes pasados, de modo que puedan prevenir sucesos similares en el futuro.
3. Entender las tendencias: Las vistas históricas ayudan a los equipos de seguridad y a los investigadores a aprender más sobre lo que los cambios en los dispositivos expuestos a Internet podrían significar para la postura de seguridad y el estado de la seguridad de Internet en su conjunto. Recientemente, nuestro propio equipo de investigación estudió si los directorios abiertos, un tipo de exposición de larga data, seguían prevaleciendo en Internet y, en caso afirmativo, de qué manera. (Alerta de spoiler: lo son.) Las vistas históricas también apoyan el trabajo de nuestro equipo de investigación en proyectos como el Informe anual sobre el estado de Internet, que ayuda a analizar cómo Internet se está volviendo, o no, más segura con el paso del tiempo.
Utilización de la búsqueda en Censys para obtener una visión histórica
Como proveedor líder de inteligencia de Internet, Censys mantiene la visión más completa, precisa y actualizada de la infraestructura global de Internet disponible. Esta visión nos ha permitido seguir la actividad de la infraestructura global de Internet a lo largo del tiempo y observar cómo ha cambiado. Los usuarios de nuestra herramienta de búsqueda Censys también tienen acceso a esta visión temporal a través de los datos históricos disponibles en nuestra interfaz web y nuestra API.
¿Qué significa esto en la práctica? En cualquier página de anfitrión en Censys Search, un usuario puede seleccionar "Historial de anfitriones" en la barra de navegación superior para ver una cronología de eventos relacionados con la actividad del anfitrión. Por ejemplo, un usuario puede ver cuándo se añaden servicios a los anfitriones, se actualizan ubicaciones y se modifican campos, entre otras actividades.
A continuación encontrará un ejemplo de vista del historial de hosts.
Al observar el historial de un host, puedes ver una lista de toda la actividad temporal (lo que se muestra arriba), o bien, puedes comparar la actividad de dos puntos en el tiempo. Para ver todas las observaciones que Censys ha hecho de los servicios de un host, incluso las que no han provocado ningún cambio en su representación, abre la pestaña Historial y activa el botón "Ver todas las observaciones" en azul. Para comparar la actividad de dos puntos en el tiempo, marque las casillas situadas a la izquierda de la actividad que desee comparar y haga clic en el botón "Comparar". Una comparación podría ser útil cuando se intenta determinar si un host puede haber sido afectado por un día cero y de qué manera.
Unas palabras sobre el acceso: Como ya se ha mencionado, todos los usuarios de Censys Search tienen acceso a datos históricos. Los usuarios de la comunidad gratuita tienen acceso a datos históricos de hasta una semana, mientras que los usuarios de paquetes avanzados tienen acceso a datos históricos más completos, de tres años de antigüedad. Los investigadores y usuarios interesados en nuestras descargas de datos pueden acceder hasta a siete años de datos históricos.
Aprovechar los datos históricos en la práctica
El equipo de investigación de Censys utilizó recientemente la función de historial de host en Censys Search para facilitar una investigación sobre la infraestructura de NTC Vulkan. NTC Vulkan es un grupo con sede en Moscú, fundado por dos antiguos oficiales de inteligencia rusos. Los informes indican que el grupo ha sido contratado por la inteligencia rusa para crear herramientas cibernéticas ofensivas, incluidas las que podrían utilizarse para atacar elecciones e infraestructuras críticas.
En su investigación, los investigadores de Censys descubrieron seis hosts que pertenecían a NTC Vulkan y pudieron elaborar un perfil actual e histórico de las herramientas y el software que alojaban, lo que proporcionó un perfil básico de la empresa. Por ejemplo, utilizando análisis históricos, Censys pudo identificar un servidor GitLab que NTC Vulkan podría haber estado utilizando para desarrollar herramientas para la GRU Sandworm rusa (una unidad cibernética del servicio de inteligencia militar de Rusia). Investigar el historial de los hosts de NTC Vulkan ayudó al equipo a conocer mejor las funciones básicas de los hosts e incluso de la propia organización.
Consulte nuestro artículo Descubrimiento de la infraestructura Vulkan de NTC para obtener un análisis completo de lo que descubrió nuestro equipo de investigación.
Si has estado siguiendo Censys, probablemente también nos hayas oído hablar de nuestra investigación sobre el ransomware ruso. Hay muchos detalles que compartir sobre esta investigación, que puedes leer en su totalidad aquí. Sin embargo, como el trabajo del equipo estaba relacionado con el historial del host, utilizaron una perspectiva histórica en Censys Search para ayudar a confirmar que lo que estaban observando era realmente una actividad nefasta.
El equipo había identificado un host sospechoso con un certificado PoshC2 que también presentaba una respuesta HTTP con un kit de malware. A través del análisis histórico del kit de malware, el equipo pudo ver que meses antes el kit de malware tenía "restoreassistance_net@decorous[.]cyou" anexado a cada uno de sus archivos. Una búsqueda en Google reveló que "@decorous[.]cyou" es un dominio utilizado por el grupo MedusaLocker, confirmado por una alerta de CISA.
Censys evaluó que esto constituía una "pistola humeante" e implicaba a este host como parte de una red C2 de ransomware, probablemente como atacante o proxy (como víctima es posible; sin embargo, el análisis histórico de Censysindica la presencia, eliminación y reaparición del certificado PoshC2 y una persistencia del kit de malware modificado a lo largo del tiempo, lo que estaría más en línea con un atacante modificando sus métodos de ataque).
En otras palabras, sin esta visión histórica, los investigadores de Censys sólo habrían podido observar la actividad en el Host F desde una perspectiva actual, y habrían pasado por alto los cambios relacionados con el certificado PoshC2 y el kit de malware.
Aprender del pasado para asegurar el futuro
Los activos expuestos a Internet y las amenazas que los atacan evolucionan continuamente. La capacidad de observar cómo ha cambiado la actividad asociada a estos activos proporciona una perspectiva fundamental a través de la cual los profesionales de la seguridad, los cazadores de amenazas y los investigadores pueden identificar las amenazas y gestionar los riesgos, así como obtener información que puede utilizarse para tomar decisiones más informadas de cara al futuro.
Consulte hoy mismo los datos históricos en Censys Search. Diríjase a search.censys.io para empezar a explorar o para registrarse y obtener una cuenta comunitaria gratuita.
¿Le interesa pasar de una cuenta gratuita? Póngase en contacto con nuestro equipo.
