Vous partez à la chasse aux menaces... et vous voulez en attraper une grosse (malveillante).
L'identification d'une infrastructure malveillante peut être un objectif de chasse aux menaces particulièrement décourageant. Les attaquants qui ont l'intention de mettre en place des réseaux C2, des sites d'hameçonnage et des domaines usurpés, sont aussi, et ce n'est pas surprenant, souvent très doués pour dissimuler leurs traces grâce à des tactiques allant de l'utilisation de VPN propriétaires à des services intermédiaires compromis. Ainsi, même lorsque l'infrastructure malveillante est visible, l'attribution de la source peut rester un problème épineux.
Cela dit, il existe des outils tels que Censys Search qui peuvent rendre le défi du suivi et de la compréhension de l'infrastructure malveillante plus réalisable. Les témoignages d'utilisateurs, les articles pratiques et les vidéos qui suivent vous permettront de vous informer, de vous inspirer et même de donner un coup de fouet à votre prochaine enquête sur les infrastructures malveillantes.
7 ressources qui valent la peine d'être lues (ou regardées)
1. Comment identifier une infrastructure malveillante : Démonstration Commençons par un rapide tutoriel vidéo sur la recherche d'infrastructures malveillantes sur Censys Search . Suivez l'un de nos experts dans une chasse accélérée à l'infrastructure C2, à l'aide de filtres de géolocalisation, d'étiquettes et de pivotements stratégiques. Découvrez comment vous pouvez rapidement passer d'une vue macro, à 10 000 pieds, de toutes les instances possibles de C2, à quelque chose de beaucoup plus granulaire et spécifique avec seulement quelques requêtes.
VIDEO
2. Suivi de l'infrastructure Vidar avec Censys Découvrez l'enquête menée par notre équipe sur l'infrastructure Vidar, un type de logiciel malveillant qui a évolué à partir d'Arkei et qui se distingue comme l'un des premiers voleurs capables d'extraire des informations des logiciels 2FA et du navigateur Tor. Vidar a été associé à Scattered Spider, connu pour cibler les grandes organisations et les services d'assistance informatique. Étant donné que les serveurs C2 de Vidar utilisent le protocole HTTP sur TLS, y compris les noms de sujet et d'émetteur codés en dur sur les certificats, Censys a été en mesure de détecter 22 adresses IP uniques liées aux campagnes de Vidar.
Nous étudierons les méthodes opérationnelles de Vidar, notamment sa capacité unique à recueillir des données dans des environnements sécurisés, et nous décrirons les signatures de réseau spécifiques et les caractéristiques des serveurs C2 qui peuvent être repérées à l'aide de Censys Search.
Lire l'article
3. Les données C2 d'un ransomware russe découvertes dans les données de Censys Censys ont identifié un réseau d'hôtes russes qui utilisaient des outils tels que Metasploit et PoshC2 pour des opérations de commande et de contrôle, et qui étaient liés à des attaques par ransomware. L'enquête a fait appel à des techniques de balayage avancées et à l'analyse de données sur Censys Search pour retracer l'activité du réseau dans plusieurs pays, ce qui a permis d'identifier et de combattre des menaces aussi sophistiquées.
Dans ce résumé de l'enquête, notre équipe décrit en détail chaque étape qu'elle a suivie pour identifier et rassembler plus de contexte sur ces hôtes. La clé du succès de cette enquête a été la capacité de pivoter sur de nouvelles informations et d'exploiter stratégiquement les données de l'historique des hôtes pour analyser un kit de logiciels malveillants. Consultez l'article complet pour en savoir plus et accéder aux requêtes et aux rapports que l'équipe a utilisés au cours de l'enquête.
Lire la recherche
4. Correspondance floue pour trouver les domaines malveillants Les usurpateurs de domaine restent un problème persistant pour les équipes de sécurité, et il est souvent difficile de les identifier à temps. Dans cet article, découvrez comment identifier et atténuer de manière proactive les menaces d'usurpation d'identité qui mettent en péril la sécurité des utilisateurs.
En utilisant des techniques de "correspondance floue" telles que la distance de Levenshtein en combinaison avec les données Censys et BigQuery de Google, vous pouvez repérer et bloquer efficacement les domaines qui imitent étroitement les domaines légitimes, renforçant ainsi leurs mesures de cybersécurité. Cette approche permet non seulement d'accélérer la détection de ces menaces, mais aussi d'améliorer la précision du ciblage des domaines les plus suspects.
Lire l'article
Un tutoriel vous intéresse ? Regardez l'un de nos chercheurs ( Censys ) expliquer comment appliquer ces principes d'appariement flou dans la pratique.
VIDEO
5. Pivot de Threat Intel à l'aide de Censys
Un utilisateur de Censys explique comment il a découvert l'infrastructure en grappe d'un groupe de cyberespionnage en se concentrant sur les nœuds à l'aide de Censys Search. Avec un premier nœud connu, l'utilisateur décrit comment il a pu accéder à Censys Search pour identifier le numéro de port, les modèles, le nom de l'outil, l'hébergeur et les certificats. Avec ces informations, l'utilisateur a doublement cliqué sur l'empreinte de la clé SSH, a pivoté pour en savoir plus sur l'hébergeur et a continué à pivoter en fonction de ses découvertes. Consultez l'article pour obtenir une description complète de la manière dont ils ont pu analyser l'acteur de la menace de cyberespionnage Muddy Water.
Lire l'article
6. Mise au jour de l'infrastructure C2 d'un fournisseur de logiciels espions
Citizen Lab, un institut de recherche de l'université de Toronto, pense que le fournisseur de logiciels espions Candiru se fait passer pour des organisations connues afin de cibler des journalistes et des militants des droits de l'homme. Candiru affirme que ses produits sont "intraçables", ce qui rendrait particulièrement difficile la recherche de domaines, de certificats et d'autres infrastructures C2 associés à ses logiciels. Cette affirmation n'a toutefois pas découragé Citizen Lab, qui a entrepris d'identifier l'infrastructure C2 du fournisseur de logiciels espions et de comprendre son empreinte mondiale.
En utilisant Censys Search, Citizen Lab a identifié un certificat auto-signé associé à Candiru, ce qui lui a permis d'interroger l'adresse IP qui servait le certificat auto-signé. À partir de là, l'équipe a pivoté entre la recherche d'hôtes et de certificats dans Censys Search pour finalement identifier plus de 750 sites Web dont Candiru usurpait l'identité. Consultez l'étude de cas pour en savoir plus sur l'enquête de Citizen Lab.
Lire l'étude de cas
7. Le guide du débutant pour traquer l'infrastructure des logiciels malveillants
Si vous pensez aux logiciels malveillants, ne cherchez pas plus loin que ce guide complet (si l'on ose dire inégalé) sur la traque de l'infrastructure des logiciels malveillants, rédigé par Embee Research. Cet article propose des instructions détaillées, étape par étape, sur la manière de mettre en œuvre toutes sortes de stratégies de chasse aux logiciels malveillants sur Censys Search, avec des requêtes spécifiques et des captures d'écran.
Par exemple, le guide explique comment rechercher une infrastructure utilisant des certificats TLS, que les acteurs de la menace et les développeurs de logiciels malveillants utilisent pour chiffrer les communications et établir des connexions entre un hôte cible et une infrastructure malveillante. Censys possède le plus grand référentiel de certificats x.509 au monde, de sorte que si un acteur de la menace cible un certificat TLS, Censys peut le voir.
Il est important de noter que les utilisateurs de Censys Search peuvent également accéder aux configurations TLS de serveurs ou de domaines malveillants connus et, à leur tour, identifier des modèles et des similitudes dans les paramètres TLS. Cela peut aider les utilisateurs à suivre et à attribuer l'infrastructure malveillante à des acteurs ou à des groupes de menace spécifiques.
Lire le guide
Continuer à explorer
Vous souhaitez en savoir plus sur la manière d'accélérer vos enquêtes sur les menaces ? Consultez notre webinaire à la demande, Threat Intelligence with Censys Search and ChatGPT pour découvrir comment tirer parti de la puissance de l'IA générative pour traquer les menaces !
En savoir plus
