Die folgende Suchanfrage kann verwendet werden, um Schlüsselwerte für ein beliebiges AnyDesk-Zertifikat zu ermitteln:
index=json ExternalApiType=Event_ModuleSummaryInfoEvent
| search SubjectCN IN ("AnyDesk Software GmbH")
| lookup local=true appinfo.csv SHA256HashData OUTPUT FileName, ProductName, ProductVersion , FileDescription , FileVersion , CompanyName
| fillnull value="Unbekannt" FileName, ProductName, ProductVersion , FileDescription , FileVersion , CompanyName
| stats values(SubjectDN) as SubjectDN, values(SHA256HashData) as sha256 by IssuerCN, FileName, ProductName, ProductVersion , FileDescription , FileVersion , CompanyName
| sort + FileName
Basierend auf Branchenberichten ist die Seriennummer des betreffenden Zertifikats:
SN: 0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8
Die folgende Suchanfrage kann verwendet werden, um Zertifikate mit der oben genannten Seriennummer zu erkennen:
index=json ExternalApiType=Event_ModuleSummaryInfoEvent
| search SubjectSerialNumber IN (0dbf152deaf0b981a8a938d53f769db8)
| lookup local=true appinfo.csv SHA256HashData OUTPUT FileName, ProductName, ProductVersion , FileDescription , FileVersion , CompanyName
| fillnull value="Unbekannt" FileName, ProductName, ProductVersion , FileDescription , FileVersion , CompanyName
| stats values(SHA256HashData) as sha256 by IssuerCN, SubjectCN, SubjectDN, FileName, ProductName, ProductVersion , FileDescription , FileVersion , CompanyName
Nach Ausführung der zweiten Suchanfrage in der Umgebung von Northwell Health wurde eine Liste von SHA256-Hashes erhalten. Diese Liste wurde dann in der folgenden Suchanfrage verwendet, um die Hosts zu ermitteln, die mit dem betreffenden AnyDesk-Zertifikat in Verbindung stehen:
SHA256HashData IN (109b03ffc45231e5a4c8805a10926492890f7b568f8a93abe1fa495b4bd42975, 47d771c5c9851b6ced3e68814c95c0f49be2186b7f84bf708c0d257620f87f87, 580f6a285c6c3b7238bd16e1aeb62a077ae44b5061a2162e9fd6383af59028bb, af61905129f377f5934b3bbf787e8d2417901858bb028f40f02200e985ee62f6, e98a3cb2cf58024d91e38339fd3489ae99383595d66eaa51879f3c0b511477bb, ec33d8ee9c3881b8fcea18f9f862d5926d994553aec1b65081d925afd3e8b028)
| fillnull CommandLine value="null"
| stats max(_time) as latest_runtime by event_simpleName aid CommandLine SHA256HashData
| eval latest_runtime=strftime(latest_runtime,"%Y-%m-%dT%H:%M:%S.%3NZ")