Il s'agit d'un guide rapide qui traduit la syntaxe des requêtes pour la nouvelle version de Censys Recherche 2.0 qui est gratuite pour les utilisateurs de la communauté. Les requêtes suivantes aident les praticiens à identifier les actifs potentiels et autres infrastructures associées à SolarWinds Orion. Pour plus d'informations sur l'incident SolarWinds et son impact global, veuillez consulter notre article détaillé ici.
1. Trouver les actifs SolarWinds Orion exposés dans le monde entier.
Cette recherche identifie les ressources SolarWinds Orion exposées sur Internet. Censys La recherche peut être utilisée pour rechercher les actifs exposés qui pourraient appartenir à votre organisation. Si vous trouvez un actif SolarWinds exposé qui vous appartient, nous vous recommandons de suivre la directive d'urgence et les conseils de la CISA.
Vous trouverez ci-dessous une comparaison et une traduction de la syntaxe des requêtes entre l'ancienne application Censys Search et Censys Search 2.0 :
Ancienne application de recherche: L'ancienne application Censys Search était limitée aux services HTTP fonctionnant sur les ports 443 et 8080.
443.https.get.title : "SolarWinds Orion" OR 80.https.get.title : "SolarWinds Orion" OU 8080.http.get.title : "SolarWinds Orion"
Résultats (20 mai 2021) : 470
Nouvelle version de Search 2.0: New Censys Search 2.0 analyse 2 500 ports avec détection automatique des protocoles, ce qui permet d'identifier les services fonctionnant sur des ports non standard.
services.http.response.html_title : "SolarWinds Orion"
Résultats (20 mai 2021) : 1,051
2. Recherchez les ressources utilisant les certificats RDP associés à "SolarWinds-Orion".
L'exploit SolarWinds Orion s'appuie sur des hôtes C2 qui présentent des certificats RDP, comme le souligne l'analyse de FireEye de décembre 2020. Cette recherche identifie tous les hôtes sur Internet qui s'identifient comme "SolarWinds-Orion" via un certificat RDP. Les hôtes identifiés dans cette recherche peuvent être des infrastructures d'attaquants - signalez et partagez cette information dans les canaux appropriés de partage d'informations sur les menaces et/ou éventuellement aux autorités.
Vous trouverez ci-dessous une comparaison et une traduction de la syntaxe des requêtes entre l'ancienne application Censys Search et Censys Search 2.0 :
Ancienne application de recherche
3389.rdp.banner.tls.certificate.parsed.issuer_dn : "CN=SolarWinds-Orion"
Résultats (20 mai 2021) : 1
Nouvelle recherche 2.0
same_service("CN=SolarWinds-Orion" et services.service_name : RDP)
Résultats (20 mai 2021) : 1
3. Recherchez tout certificat "SolarWinds-Orion" présenté via n'importe quel port.
Vous trouverez ci-dessous une comparaison et une traduction de la syntaxe des requêtes entre l'ancienne application Censys Search et la nouvelle application Censys Search 2.0.
Ancienne application de recherche
"CN=SolarWinds-Orion"
Résultats (20 mai 2021) : 48
Nouvelle recherche 2.0: Avec Search 2.0, la détection automatique des protocoles permet à Censys de trouver plus de services et de certificats que dans l'ancienne application Search.
"SolarWinds-Orion
Résultats (20 mai 2021) : 670
Pour plus d'informations sur Search 2.0, consultez notre Centre d'aide. Si vous souhaitez en savoir plus sur Censys Search 2.0, visitez notre site Web dès aujourd'hui !