La vasta colección de datos de análisis de Internet accesible desde Censys Search se utiliza para muchos objetivos diferentes de ciberseguridad e investigación. Los profesionales pueden utilizar Censys Search para identificar servicios vulnerables, los equipos de seguridad pueden enriquecer los registros con información actualizada sobre hosts y certificados, y los investigadores pueden aprovechar la visión global que ofrecemos para identificar tendencias en la actividad de Internet.
Los datos ricos y contextualizados que se encuentran en Censys Search también pueden utilizarse para investigar las ciberamenazas. Los usuarios no solo pueden recurrir a Censys para determinar si se han visto afectados por un día cero (el equipo de investigación de Censys publica con frecuencia directrices sobre cómo hacerlo), sino que también pueden utilizar los datos de Censys para rastrear a posibles adversarios antes de que se tomen medidas, crear líneas de tiempo para comprender cómo se produjo un ataque y obtener más información sobre quién podría ser el responsable.
En la entrada de hoy, presentamos historias de usuarios de Censys Search que comparten cómo utilizan la herramienta para prevenir e investigar amenazas.
Nota: ¿Es usted usuario de la Comunidad de Búsqueda de Censys ? Asegúrate de revisar nuestra nota para los usuarios de la Comunidad al final de este post.
1. Rastrear a los hackers detrás del malware
A finales de 2021, una empresa de servicios informáticos con sede en la India se convirtió en el objetivo de un extenso ataque de malware. Un grupo de piratas informáticos accedió a más de una docena de sitios web de la empresa orientados a los clientes tras acceder con éxito a su proveedor de alojamiento. Tras conseguir el acceso, el grupo infectó los sitios web de la empresa con malware, redirigió el tráfico y generó miles de páginas HTML basura. Todo ello formaba parte de lo que la empresa comprendió más tarde que era una campaña de SEO negativa. Según relató el CEO de la empresa a Censys, los resultados de esta campaña de SEO negativo impulsada por malware significaron que los "sitios web afectados quedaron esencialmente destruidos".
Conmocionada por el impacto de la brecha y en busca de responsabilidades, la empresa decidió investigar. Afortunadamente, habían descargado los archivos de registro de Apache antes de que sus sitios web se vieran totalmente comprometidos, lo que les permitió ver las peticiones realizadas desde otros ordenadores. Con estos archivos en la mano, junto con el conocimiento del dominio desde el que operaban los delincuentes, la empresa se propuso identificar una conexión entre las direcciones IP de los archivos de registro y el dominio conocido.
La empresa pudo utilizar los amplios datos de hosts de Censys Search para realizar rápidamente una búsqueda de todos los hosts asociados a este dominio concreto. El conjunto de datos de hosts de Censys proporciona registros precisos y actualizados que reflejan la realidad de los hosts públicos IPv4 e IPv6 y los hosts virtuales, lo que permite realizar consultas de investigación exhaustivas sobre los hosts. Tras revisar las devoluciones de hosts coincidentes, la empresa pudo demostrar que la dirección IP de los archivos de registro procedía efectivamente de hosts pertenecientes a este dominio. Con esta conexión, la empresa pudo entregar sus hallazgos a las fuerzas de seguridad para posibles acciones posteriores.
2. Lucha contra las campañas de phishing
La IA ha facilitado más que nunca que los hackers lancen campañas de phishing más sofisticadas y eficaces a escala.
Para identificar y bloquear proactivamente estas campañas de phishing, el proveedor de soluciones de seguridad de correo electrónico Proofpoint utiliza regularmente Censys Search. En un seminario web reciente con Censys, Greg Lesnewich, investigador principal de amenazas de Proofpoint, describió cómo los datos a los que acceden en Censys Search ayudan a su equipo a mejorar el tiempo de detección y la eficacia contra las campañas de phishing.
Por ejemplo, Proofpoint puede utilizar Censys para buscar todas las instancias de herramientas de phishing comunes, como "GoPhish", e identificar el software que ejecutan estas herramientas. A continuación, pueden utilizar Censys Search para revisar los registros DNS y los certificados, y aprovechar las funciones de generación de informes de Search para profundizar en los datos de las hojas de certificados e identificar los nombres sospechosos que aparecen aquí. A partir de ahí, pueden bloquear este subconjunto más pequeño de nombres sospechosos de sus sistemas, o configurar alertas en caso de que estas direcciones intenten entrar.
Proofpoint afirma que los detalles de la investigación y las oportunidades de automatización que Censys ayuda a facilitar han proporcionado un valor cuantificable significativo.
"Tuvimos una mejora del 35% en el tiempo de detección y eficacia para un determinado grupo APT a través de la ingestión automatizada de infraestructura con Censys." - Greg Lesneswich, investigador principal de amenazas, Proofpoint
3. Extracción de datos en busca de pruebas de C2
Además de luchar contra las campañas de phishing, Proofpoint compartió que en el otro extremo del espectro, también minan regularmente los datos de exploración de Internet disponibles en Censys Search para encontrar y aprender más acerca de los servidores C2. Describen Censys como una valiosa "extensión de visibilidad" que les permite rastrear e identificar la infraestructura C2 antes de que su organización o sus clientes se vean afectados negativamente.
En un ejemplo que compartió Proofpoint, pudieron utilizar Censys para obtener más información sobre un posible servidor C2 que utilizaba un protocolo binario personalizado. Proofpoint utilizó lo que sabía sobre los protocolos binarios personalizados (como sus valores continuamente cambiantes) para guiar su investigación del servidor C2 sospechoso en Censys Search. Después de ejecutar consultas en los puertos de interés, Proofpoint fue capaz de reducir su enfoque a sólo siete IPs potencialmente maliciosas. Con este subconjunto más reducido, pudieron establecer un proceso de alerta. Si el tráfico entrante procedía de cualquiera de las siete IP, Proofpoint sabría cómo marcar la actividad y abordarla rápidamente.
Puede ver el seminario web completo a la carta con Proofpoint aquí: Cómo lucha Proofpoint contra el phishing con Censys Search.
¿Le interesa buscar C2 por su cuenta? Consulte los resultados de la búsqueda de C2 en Censys :
Más inspiración para casos prácticos
Hay muchas formas de maximizar el uso de Censys Search. Los siguientes recursos son sólo una muestra de cómo puede utilizar Censys Search para proteger lo que posee e investigar amenazas.
Puede adaptar su acceso a Censys Search en función de sus necesidades específicas. Nuestra versión Censys Search Community es una gran opción para aquellos que quieren empezar. Sin embargo, para los cazadores de amenazas, los que responden a incidentes, los usuarios múltiples, los investigadores y los que tienen necesidades más avanzadas, uno de nuestros paquetes Solo, Teams o Pro/Advanced/Premium será probablemente una mejor opción. Estos paquetes proporcionan el acceso y las capacidades que a menudo son necesarias para un trabajo de ciberseguridad e investigación más exhaustivo.
Puede obtener más información sobre las opciones de búsqueda en Censys aquí.
Recordatorio a los usuarios de la Comunidad de Búsqueda Censys
Recientemente hemos comunicado que estamos introduciendo cambios en la versión actual de Censys Search Community. En concreto, vamos a suspender el acceso a la API durante más de 60 días. Esto se aplica tanto a los nuevos usuarios como a los actuales. Esto significa que los usuarios de la comunidad que crearon sus cuentas de Censys Search Community antes del 6 de diciembre de 2023, fecha en la que se lanzaron nuestros paquetes de autoservicio, ya no tendrán acceso a la API después del 5 de febrero de 2024.
Cualquier usuario de la Comunidad que haya creado una cuenta de la Comunidad después del 6 de diciembre de 2023 tendrá acceso a la API durante 60 días después de su fecha específica de inscripción.
Puede leer más sobre estos cambios en nuestro reciente blog.
Como siempre, agradecemos su comprensión y cooperación en nuestro empeño por mantener un alto nivel de servicio.
Para obtener más información sobre cómo actualizar su cuenta de Censys Search, visite nuestra página de precios.
Oferta especial: Reciba un 10% de descuento en su suscripción anual a Censys Search Solo o Censys Search Teams. Para su comodidad, nuestro código ANNUALDISCOUNT aparecerá automáticamente cuando seleccione una suscripción anual al realizar el pago.
Más información en Censys Search
