La vaste collection de données d'analyse de l'internet accessible à partir de Censys Search est utilisée pour de nombreux objectifs de cybersécurité et de recherche. Les praticiens peuvent utiliser Censys Search pour identifier les services vulnérables, les équipes de sécurité peuvent enrichir les journaux avec des informations actualisées sur les hôtes et les certificats, et les chercheurs peuvent tirer parti de la vue globale que nous offrons pour identifier les tendances de l'activité Internet.
Les données riches et contextualisées que l'on trouve sur Censys Search peuvent également être utilisées pour enquêter sur les cybermenaces. Les utilisateurs peuvent non seulement se tourner vers Censys pour déterminer s'ils ont été touchés par un zero-day (ce que l'équipe de recherche de Censys publie fréquemment), mais ils peuvent également utiliser les données de Censys pour repérer des adversaires potentiels avant qu'ils ne passent à l'action, établir des calendriers pour comprendre comment une attaque s'est produite et en savoir plus sur les responsables potentiels.
Dans le billet d'aujourd'hui, nous présentons des témoignages d'utilisateurs de Censys Search qui expliquent comment ils utilisent l'outil pour prévenir et enquêter sur les menaces.
Note: Êtes-vous un utilisateur actuel de la communauté de recherche Censys ? N'oubliez pas de consulter notre note aux utilisateurs de la Communauté à la fin de cet article.
1. Traquer les pirates qui se cachent derrière les logiciels malveillants
Fin 2021, une société de services informatiques basée en Inde a été la cible d'une vaste attaque de logiciels malveillants. Un groupe de pirates a accédé à plus d'une douzaine de sites web de l'entreprise en contact avec la clientèle après avoir réussi à pénétrer dans les locaux de leur fournisseur d'hébergement tiers. Une fois l'accès obtenu, le groupe a infecté les sites web de l'entreprise avec des logiciels malveillants, a redirigé le trafic et a généré des milliers de pages HTML indésirables. Tout cela faisait partie de ce que l'entreprise a compris plus tard comme étant une campagne de référencement négatif. Comme l'a raconté le PDG de l'entreprise à Censys, les résultats de cette campagne de référencement négatif menée à l'aide de logiciels malveillants ont eu pour effet de détruire les sites web concernés.
Sous le choc de la violation et cherchant à rendre des comptes, l'entreprise a décidé d'enquêter. Heureusement, elle avait téléchargé les fichiers journaux d'Apache avant que ses sites web ne soient totalement compromis, ce qui lui a permis de voir les requêtes faites à partir d'autres ordinateurs. Avec ces fichiers en main et la connaissance du domaine à partir duquel les criminels opéraient, l'entreprise a entrepris d'identifier un lien entre les adresses IP figurant dans les fichiers journaux et le domaine connu.
L'entreprise a pu utiliser les vastes données d'hôtes de Censys Search pour lancer rapidement une recherche sur tous les hôtes associés à ce domaine spécifique. L'ensemble de données d'hôtes Censys fournit des enregistrements précis et actualisés qui reflètent la réalité des hôtes IPv4 et IPv6 publics et des hôtes virtuels, ce qui permet d'effectuer des recherches approfondies sur les hôtes. Après avoir examiné les retours d'hôtes correspondants, l'entreprise a pu prouver que l'adresse IP figurant dans les fichiers journaux provenait effectivement d'hôtes appartenant à ce domaine. Grâce à ce lien, l'entreprise a pu transmettre ses conclusions aux services de police pour qu'ils prennent d'éventuelles mesures.
2. Lutte contre les campagnes d'hameçonnage
L'IA a permis aux pirates de lancer plus facilement que jamais des campagnes d'hameçonnage plus sophistiquées et plus efficaces à grande échelle.
Pour identifier et bloquer de manière proactive ces campagnes de phishing, le fournisseur de solutions de sécurité pour le courrier électronique Proofpoint utilise régulièrement Censys Search. Lors d'un récent webinaire avec Censys, Greg Lesnewich, chercheur principal en menaces chez Proofpoint, a décrit comment les données auxquelles il a accès dans Censys Search aident son équipe à améliorer le temps de détection et l'efficacité contre les campagnes d'hameçonnage.
Par exemple, Proofpoint peut utiliser Censys pour rechercher toutes les instances d'outils d'hameçonnage courants tels que "GoPhish", et peut identifier le logiciel que ces outils exécutent. Il peut ensuite utiliser Censys Search pour examiner les enregistrements DNS et les certificats, et exploiter les fonctions de rapport de Search pour approfondir les données des feuilles de certificat et identifier les noms suspects qui apparaissent ici. À partir de là, ils peuvent soit bloquer ce petit sous-ensemble de noms suspects de leurs systèmes, soit mettre en place des alertes si ces adresses tentent de passer.
Proofpoint affirme que les détails de l'enquête et les possibilités d'automatisation que Censys aide à faciliter ont apporté une valeur quantifiable significative.
"Nous avons amélioré de 35 % le temps de détection et l'efficacité d'un certain groupe APT grâce à l'ingestion automatisée de l'infrastructure avec Censys." - Greg Lesneswich, chercheur principal en menaces, Proofpoint
3. Extraction de données pour trouver des preuves de C2
Outre la lutte contre les campagnes d'hameçonnage, Proofpoint a indiqué qu'à l'autre bout du spectre, elle exploite régulièrement les données d'analyse Internet disponibles sur Censys Search pour trouver des serveurs C2 et en apprendre davantage à leur sujet. Ils décrivent Censys comme une précieuse "extension de visibilité" qui leur permet de suivre et d'identifier l'infrastructure C2 avant que leur organisation ou leurs clients ne subissent des conséquences négatives.
Dans un exemple partagé par Proofpoint, l'entreprise a pu utiliser Censys pour en savoir plus sur un serveur C2 potentiel qui utilisait un protocole binaire personnalisé. Proofpoint a utilisé ce qu'il savait sur les protocoles binaires personnalisés (comme leurs valeurs qui changent continuellement) pour guider son enquête sur le serveur C2 suspect dans Censys Search. Après avoir lancé des requêtes sur les ports d'intérêt, Proofpoint a pu réduire son champ d'action à sept IP potentiellement malveillantes. Avec ce sous-ensemble réduit, ils ont pu mettre en place un processus d'alerte. Si le trafic entrant provenait de l'une des sept IP, Proofpoint saurait qu'il faut signaler l'activité et la traiter rapidement.
Vous pouvez visionner l'intégralité du webinaire à la demande de Proofpoint ici : Comment Proofpoint lutte contre le phishing avec Censys Search.
Vous souhaitez rechercher des C2 par vous-même ? Consultez les résultats de la recherche sur Censys pour les C2 les plus courants :
Plus de cas d'utilisation
Il existe de nombreuses façons d'optimiser l'utilisation de Censys Search ! Les ressources suivantes ne donnent qu'un aperçu de la manière dont Censys Search peut être utilisé pour protéger ce que vous possédez et enquêter sur les menaces.
Vous pouvez personnaliser votre accès à Censys Search en fonction de vos besoins spécifiques. Notre version communautaire de Censys Search est une excellente option pour ceux qui souhaitent débuter. Cependant, pour les chasseurs de menaces, les intervenants en cas d'incident, les utilisateurs multiples, les chercheurs et ceux qui ont des besoins plus avancés, l'un de nos forfaits Solo, Teams ou Pro/Advanced/Premium sera probablement un meilleur choix. Ces formules offrent l'accès et les capacités qui sont souvent nécessaires pour un travail de cybersécurité et de recherche plus approfondi.
Pour en savoir plus sur les options de recherche de Censys , cliquez ici.
Rappel aux utilisateurs de la communauté de recherche Censys
Nous avons récemment annoncé que nous apportions des modifications à la version actuelle de Censys Search Community. En particulier, nous interrompons l'accès à l'API au-delà de 60 jours. Cela s'applique à la fois aux nouveaux utilisateurs de la communauté et aux utilisateurs actuels de la communauté. Cela signifie que les utilisateurs de la communauté qui ont créé leur compte Censys Search Community au plus tard le 6 décembre 2023 - date à laquelle nos packages en libre-service ont été lancés - n'auront plus accès à l'API après le 5 février 2024.
Tout utilisateur communautaire ayant créé un compte communautaire après le 6 décembre 2023 aura accès à l'API pendant 60 jours après sa date d'inscription.
Vous pouvez en savoir plus sur ces changements dans notre récent blog.
Comme toujours, nous apprécions votre compréhension et votre coopération, car nous nous efforçons de maintenir un niveau de service élevé !
Pour en savoir plus sur la mise à niveau de votre compte Censys Search, veuillez consulter notre page de tarification.
Offre spéciale : Recevez une remise de 10 % sur votre abonnement annuel à Censys Search Solo ou Censys Search Teams ! Pour votre commodité, notre code ANNUALDISCOUNT s'affichera automatiquement lorsque vous choisirez un abonnement annuel au moment du paiement.
En savoir plus sur la recherche Censys