Censys La recherche en action
1. Découverte d'un réseau de logiciels espions
Des chercheurs du Citizen Lab de l'Université de Toronto ont utilisé Censys Search pour comprendre un réseau de logiciels espions utilisé pour cibler les défenseurs des droits de l'homme, les journalistes et les activistes. Le Citizen Lab est un institut de recherche qui mène souvent des enquêtes sur les pratiques techniques utilisées pour cibler les activistes et les journalistes. Dans le cadre de cet effort continu, Citizen Lab a jeté son dévolu sur Candiru, un acteur offensif du secteur privé connu pour vendre des logiciels espions qui peuvent être installés sur des appareils Apple, Windows ou Android. L'objectif de Citizen Lab était de comprendre l'empreinte mondiale de Candiru en cartographiant son infrastructure de commande et de contrôle, y compris les IP, les domaines et les certificats.
Citizen Lab a d'abord utilisé Censys Search pour trouver un certificat auto-signé associé à Candiru. L'équipe savait qu'il fallait rechercher un domaine spécifique : "candirusecurity[.]com" parce qu'ils avaient trouvé un enregistrement de société de 2015 associé à Candiru. L'enregistrement comprenait un courriel avec le même domaine : "amitn@candirusecurity[.]com". Cette découverte de certificat était importante car elle a permis à l'équipe de pivoter et d'utiliser les capacités de recherche historique de Censys Search pour identifier les adresses IP qui ont été historiquement associées à Candiru. L'équipe a itéré entre les hôtes IPv4 et les certificats, faisant apparaître les certificats de plus de 750 sites Web que l'infrastructure du logiciel espion Candiru utilisait pour se faire passer pour elle.
Citizen Lab a également pu utiliser Censys pour trouver une adresse IP appartenant à une victime du logiciel espion. Après avoir trouvé la victime et récupéré l'échantillon du logiciel espion, Citizen Lab a pu le transmettre à Microsoft. Microsoft a ensuite utilisé l'échantillon pour identifier deux vulnérabilités d'escalade de privilèges précédemment non divulguées exploitées par le logiciel malveillant Candiru, ainsi que pour identifier plus de 100 autres défenseurs des droits de l'homme, journalistes, activistes et politiciens qui ont été ciblés par le logiciel espion Candiru.
En racontant cette enquête sur la chasse aux menaces, Bill Marczak, chercheur au Citizen Lab, a souligné le rôle joué par Censys :
"La puissante fonctionnalité de recherche et les nombreuses données historiques font de Censys un outil idéal pour l'attribution. Censys est utilisé dans presque toutes les enquêtes que nous menons" -Bill Marczak, Citizen Lab
Lire l'étude de cas
2. Découverte d'un réseau C2 russe de ransomware
Censys ont utilisé Censys Search pour découvrir des preuves crédibles de l'existence d'un réseau C2 de ransomware russe. Dans le cadre d'une vaste enquête sur la chasse aux menaces, l'équipe de recherche de Censys a généré un rapport affichant les 1 000 principaux produits logiciels actuellement observables parmi les 7,4 millions d'hôtes que Censys a pu voir en Russie. Neuf de ces hôtes contenaient l'outil d'exploitation Metasploit, que l'équipe a identifié à l'aide de la requête : (location.country= `Russia`) et services.software.product=`Metasploit`. Metasploit étant également utilisé par de nombreuses équipes de tests de pénétration légitimes, Censys a voulu examiner les neuf hôtes à la recherche d'autres indicateurs d'activités malveillantes. Ce faisant, ils sont tombés sur un hôte (que l'équipe a appelé Host A) avec un outil C2 Deimos suspect. Mais comme il ne s'agissait que d'un seul hôte, ils ont continué à creuser.
L'équipe a identifié un autre hôte (Host F) avec un certificat Posh C2, et c'est cette découverte qui a conduit à une réponse HTTP avec un kit de logiciels malveillants. Grâce à une analyse historique, l'équipe a déterminé que le kit de logiciels malveillants était attaché à un domaine du groupe MedusaLocker, que la CISA a identifié comme un groupe connu de ransomware. Grâce à d'autres preuves de rappels vers un portefeuille bitcoin, l'équipe de recherche Censys a pu déterminer avec une confiance raisonnable que l'hôte F faisait effectivement partie d'un réseau C2 de ransomwares.
En ce qui concerne l'hôte A, l'équipe a ensuite localisé un hôte dans l'Ohio qui possédait également l'outil C2 Deimos découvert sur l'hôte A. En s'appuyant à nouveau sur l'analyse historique, elle a découvert que l'hôte de l'Ohio possédait un paquet de logiciels malveillants présentant des similitudes logicielles avec l'hôte du ransomware russe qui possédait PoshC2.
Pour en savoir plus sur la façon dont Censys a découvert le réseau de ransomware C2, y compris les requêtes spécifiques de Censys Search qui ont été utilisées, consultez notre rapport de recherche complet.
Lire le rapport
3. Comprendre le paysage des menaces grâce aux renseignements essentiels à la mission
Censys Search est utilisé par un certain nombre d'organisations du secteur public, y compris des gouvernements du monde entier, qui sont chargées de mener à bien des missions essentielles. Nous avons récemment discuté avec l'un de nos clients du secteur public, une agence gouvernementale américaine de premier plan, de la manière dont il utilise Censys. L'agence a expliqué qu'elle avait cherché à obtenir Censys parce qu'elle avait besoin d'une vision plus complète de son paysage des menaces. Les sources de renseignements existantes n'offraient pas la granularité ou le contexte nécessaires pour suivre efficacement les activités à risque. En conséquence, l'agence avait du mal à obtenir une compréhension stratégique, tactique et opérationnelle de son paysage des menaces, ce qui créait des opportunités pour les menaces de ne pas être contrôlées et augmentait les risques pour les systèmes et les réseaux sensibles.
Depuis qu'elle a accès aux renseignements de Censys Internet par le biais de Censys Search, l'agence est en mesure d'identifier les menaces de manière plus proactive, d'assurer la résilience grâce à des données fraîches et d'automatiser ses processus manuels. Plus précisément, l'agence indique que Censys Search a été une source essentielle d'informations actuelles et historiques, lui permettant de suivre l'infrastructure à la fois de manière proactive et rétroactive. Les informations fournies par Censys Search ont également permis à cette agence d'être plus confiante dans sa capacité à détecter avec précision les indicateurs malveillants, ce qui permet à ses équipes d'identifier les menaces à un stade précoce et de prendre les contre-mesures de défense du réseau appropriées.
Pour en savoir plus sur l'utilisation de Censys Search par cette agence gouvernementale de premier plan, consultez l'étude de cas ci-dessous.
Lire l'étude de cas
4. Identifier les dispositifs IdO exposés
En plus d'être un outil précieux pour comprendre le paysage mondial des menaces et mener des enquêtes de chasse aux menaces, Censys Search peut également être utilisé par les équipes de cybersécurité pour identifier les vulnérabilités et les expositions. Par exemple, une organisation peut utiliser Censys Search pour poser la question suivante : avons-nous des appareils connectés à l'internet dont nous ne connaissons pas l'existence ? Tout appareil connecté à l'internet peut servir de point d'entrée dans un réseau s'il n'est pas sécurisé.
L'équipe de recherche Censys s'est penchée sur cette question en utilisant Censys Search pour découvrir les imprimantes connectées à l'internet. L'équipe a analysé l'ensemble de l'espace IPv4 à la recherche d'hôtes exécutant le protocole d'impression Internet (IPP) en utilisant la requête services.service_name="IPP". Ils ont découvert que plus de 270 000 imprimantes visibles sur Censys étaient connectées à l'internet. Ils ont également pu voir où se trouvaient ces imprimantes en ajoutant l'attribut "location.country" aux résultats de leur requête.
À partir de là, l'équipe a pu examiner les imprimantes associées à des organisations spécifiques en ajoutant un bloc CIDR ou une plage d'adresses IP à sa requête. Vous pouvez déterminer si votre organisation possède des imprimantes que Censys peut voir en ajoutant services.service_name="IPP" AND ip:198.82.0.0/16 ou services.service_name="IPP" AND ip :[198.82.0.0 TO 198.82.255.255] à vos requêtes.
Consultez l'article de recherche pour plus d'informations sur la façon dont notre équipe a utilisé Censys Search pour visualiser ces dispositifs IoT.
Lire l'article
Vous souhaitez en savoir plus sur la façon dont votre équipe peut tirer parti de Censys Search ? Nous serions ravis de discuter avec vous. Visitez notre page de contact ou demandez une démonstration pour entamer une conversation !