有时在做调查的时候虹膜调查我好像在和一头多头野兽搏斗。在最近的一个例子中,我很好奇好人是否真的杀死了整个野兽,还是只是摧毁了一个站点?让我们深入了解一下吧。
当从执法角度进行威胁搜索时,重要的是要注意到事件响应人员有责任和义务更深入地挖掘,因为他们专注于归因和抓住坏玩家或团体。我们的许多客户更专注于识别恶意行为者和威胁,并确保他们不再能够访问其组织的网络。另一方面,执法部门必须翻翻每一片叶子,查看所有的域名历史,找到可能是威胁行为者踪迹的一部分的每一个面包屑。
对于这个示例,我将尝试找到由来自的报告识别的威胁参与者套房罪案关于域名查封。在这篇文章中,他们揭露了对一个非法赌博团伙的一次重大突袭,并描述了逮捕行动。另一篇有更多最新细节的文章来自CalvinAyre.com其中概述了认罪协议的实际内容和罚款。这些文章都是很好的读物,并为这个示例提供了一些额外的上下文。
一个野兽的头就是一个领地,platinumsb。com但事实上,这个域名只是一个更大的有组织的赌博操作的一小部分。以下是下架前后的截图。
让我们从寻找platinumsb背后的威胁人物开始。体育博彩网站。在这种情况下,警方在2013年2月突袭了一个聚会并拿下了这个域名,所以我将从Whois History开始,看看这些日期和更早的时间,看看我是否能发现关于这个演员的其他域名和其他细节。
我首先注意到的一件事是,在突袭时,它是在隐私保护下注册的。但与DomainTools Whois历史,我可以回头看看我可以了解谁实际上拥有这个域名。通过从2009-05-12访问Whois历史记录,我可以公开有关此域所有权的更多信息。登记在奥勒·斯文森名下,邮箱地址是pleased2helpyou[@]雅虎。com。现在我有了一些额外的信息,我可以利用它们来帮助我的狩猎工作。电子邮件通常是与同一组或参与者拥有的其他域连接最紧密的,因此,它是开始这项调查的好地方。这一数据指向了体育博彩网站的金矿:1248个域名(截至2017年4月28日)。这些新发现的域名共享足够多的注册细节来推断共享的所有权。
接下来,我可以开始跟踪注册的任何新域名pleased2helpyou[@]雅虎。com.自从我开始追踪这个注册人,他已经注册了超过50个新域名这就回答了我的第一个问题他是否消失了,答案是否定的。看起来执法部门只捕获并杀死了一个网站,罪犯也被捕了,但这仍然是一个蓬勃发展的赌博企业。
快乐的威胁狩猎。
更多关于这次逮捕和撤下的有趣文章链接:
http://neerdowellblog.blogspot.com/2016/09/gordon-baird-admits-role-in-103m.html
http://qcostarica.com/with-servers-in-costa-rica-canadian-man-admits-role-in-illegal-gambling-ring-allegedly-linked-to-mafia-hells-angels/
https://www.casino.org/news/hells-angels-operated-mafia-linked-platinum-sports-book-tech-guy-fined-400000