Ir al contenido
脷nase a Censys el 10 de septiembre de 2024 para nuestro Taller de Caza de Amenazas en San Francisco, CA | Reg铆strese ahora
Blogs

Liberar el potencial de los datos de certificados X.509

Compartir

22 de febrero de 2023
Etiquetas:

 

Celebramos el lanzamiento de Certs 2.0: 隆el mayor repositorio de certificados X.509 que existe!???? Nuestro nuevo 铆ndice Certs 2.0 proporciona un acceso mejorado a nuestro extenso repositorio de mil millones de certificados, con capacidades de b煤squeda m谩s eficientes y granulares. Entre las ventajas adicionales se incluyen:

  • Esquema actualizado
  • Comprobaciones diarias de revocaci贸n y tramitaci贸n de certificados
  • Mejora del rendimiento de las b煤squedas
  • Integraci贸n r谩pida con los nuevos registros de TC
  • Deduplicaci贸n de precertificados
  • Censys Idioma de b煤squeda avanzada

Con todas estas novedades disponibles, quer铆amos dedicar un momento a repasar por qu茅 son fundamentales para una Internet segura, ofrecer algunas pistas sobre c贸mo interpretar nuestros datos de certificados analizados y compartir algunos ejemplos de c贸mo puede aprovechar estos datos en sus actividades de caza de amenazas.

Introducci贸n a los certificados X.509

Cuando utilizamos la Internet moderna, interactuamos a diario con certificados. Ahora son una parte tan integral de la infraestructura segura de Internet que rara vez pensamos en ellos, a menos que est茅n caducados o falten en un sitio web. Los certificados X.509 suelen conocerse tambi茅n como certificados SSL. X.509 hace referencia a la norma que define los certificados de clave p煤blica. Independientemente de c贸mo se haga referencia a ellos, estos certificados ayudan a mitigar el riesgo en Internet de varias maneras:

  1. Los certificados permiten cifrar el tr谩fico web. Esto significa que los actores de amenazas no pueden interceptar y leer f谩cilmente los datos que se transmiten entre un cliente y un servidor. Hubo un tiempo en que uno pod铆a conectarse a una red WiFi p煤blica, encender Wireshark y ver algunas cosas interesantes flotando porque la mayor铆a de las conexiones se serv铆an a trav茅s de HTTP. La ubicuidad de los certificados ha hecho que esta pr谩ctica sea cada vez menos frecuente y en gran medida infructuosa.
  2. Los certificados sirven para verificar la identidad. Cuando una entidad obtiene un certificado de una autoridad de certificaci贸n (CA) de confianza, debe aportar pruebas de su identidad. En algunos casos, esto significa proporcionar una prueba de propiedad de un dominio (DV) o una reuni贸n con un empleado de la organizaci贸n que solicita el certificado (EV). Cuando un sitio presenta un certificado de una CA, es una prueba de que ha verificado con 茅xito su identidad y de que es quien dice ser.

Palabras de advertencia 鈿狅笍

Certificados y legitimidad

Aunque importante, la presencia de un certificado en un sitio no debe confundirse con la legitimidad del mismo. Durante a帽os, muchos navegadores han mostrado un candado u otro icono al visitar sitios servidos a trav茅s de HTTPS. A menudo se dec铆a a los usuarios que si ve铆an el icono en la barra de URL de su navegador, el sitio que estaban visitando era seguro. Claro, pod铆a tratarse de una conexi贸n segura a una p谩gina de phishing.

Aunque potencialmente es una se帽al 煤til si se interpreta en el contexto correcto, los actores de amenazas se dieron cuenta de que "el candado significa que es seguro, as铆 que es seguro introducir aqu铆 la informaci贸n de mi tarjeta de cr茅dito" y ahora es habitual ver sitios de phishing con certificados. Los servicios que ofrecen certificados gratuitos, al tiempo que contribuyen a democratizar los certificados para todos, han proporcionado a los actores de amenazas v铆as adicionales para obtener certificados para sitios maliciosos. Sugerir que un sitio es "seguro" en un sentido general simplemente porque un icono en el navegador indica que el tr谩fico se sirve a trav茅s de HTTPS es enga帽oso y perjudicial.

Certificados autofirmados

Los certificados autofirmados son eso: autofirmados. No los emite una CA, sino la entidad que solicita el certificado, y no han sido sometidos a los requisitos de verificaci贸n necesarios para obtener un certificado a trav茅s de una CA. Aunque pueden ser 煤tiles para entornos de prueba o experimentaci贸n, no deben utilizarse para activos de cara al p煤blico o a los empleados.

 

Verificaci贸n de un certificado autofirmado

Anatom铆a de un certificado X.509

A continuaci贸n se indican algunos campos que encontrar谩 habitualmente en los datos de Censys Certificados:

  • Asunto Nombre Distinguido (DN): Informaci贸n sobre la entidad a la que se emiti贸 el certificado
  • Nombre Distinguido (DN) del Emisor: Informaci贸n sobre la autoridad de certificaci贸n que emiti贸 el certificado
  • Serie: Identificador 煤nico del certificado, asignado por la autoridad de certificaci贸n
  • Validez: Per铆odo de validez del certificado

El Subject DN y el Issuer DN pueden contener campos como:

  • C = Pa铆s
  • ST = Estado
  • L = Localidad o ciudad
  • O = Nombre de la organizaci贸n
  • OU = Unidad organizativa
  • CN = Nombre com煤n

Los valores del DN del asunto reflejar谩n los valores del asunto o entidad que solicita el certificado, mientras que los valores del DN del emisor reflejar谩n los de la CA. Puede obtener m谩s informaci贸n sobre los valores de certificado analizados en Censys data aqu铆.

Caza de amenazas con certificados

Dado que los certificados son 煤tiles para verificar la identidad de una entidad, pueden proporcionar pivotes 煤tiles en la b煤squeda de amenazas y otras investigaciones. He aqu铆 algunos ejemplos que le ayudar谩n a empezar.

B煤squeda de C2

Muchos marcos C2 populares ahora vienen con certificados para asegurar que sus comunicaciones est谩n encriptadas. Mientras que algunos generan certificados con valores aleatorios o suministrados por el usuario, otros utilizan los mismos valores en todas las instalaciones, lo que puede ser 煤til para la caza.

PoshC2 es uno de estos C2. Los valores predeterminados para su cert son los siguientes, tanto para el DN de asunto como para el de emisor:

Esta b煤squeda de certificados mostrar谩 todos los certificados coincidentes que Censys haya observado:

parsed.subject.organization=Pajfds y parsed.subject.organizational_unit=Jethpro

Tambi茅n podemos buscar esos valores en los hosts:

services.tls.certificates.leaf_data.subject.organization:Pajfds y services.tls.certificates.leaf_data.subject.organizational_unit:Jethpro

Certificados como parte de una investigaci贸n m谩s amplia

En 2021, Citizen Lab utiliz贸 los datos de Censys cert como parte de una investigaci贸n sobre Candiru, un proveedor de software esp铆a mercenario cuyos productos se han utilizado para atacar a activistas de todo el mundo. Al cotejar una direcci贸n de correo electr贸nico de un certificado autofirmado con documentos que se sab铆a que estaban relacionados con Candiru, los investigadores pudieron encontrar otras infraestructuras relacionadas, lo que les permiti贸 seguir rastreando al grupo.

Conclusi贸n

Los certificados desempe帽an un papel importante a la hora de hacer de Internet un lugar m谩s seguro para todos. Tambi茅n pueden ser una valiosa herramienta para los cazadores de amenazas.

驴Quieres saber m谩s?

Si es nuevo en Censys, puede ver su superficie de ataque en tiempo real solicitando una demostraci贸n en directo. Si ya es cliente de Censys , p贸ngase en contacto con su CSM para obtener m谩s informaci贸n sobre c贸mo aprovechar Certs 2.0.

Sobre el autor

Emily Austin
Investigador principal de seguridad
Emily Austin es investigadora en Censys, donde estudia las amenazas a la seguridad y otros fen贸menos interesantes de Internet.

Contenido similar

Ver todos los contenidos similares
Volver al Centro de Recursos
Soluciones de gesti贸n de la superficie de ataque
M谩s informaci贸n