你知道那句老话吧?除了死亡和税收,没有什么是确定的。在今天不断发展的网络世界里,也许我们是时候把这个习语更新为:除了死亡、税收和税务欺诈,没有什么是确定的。虽然我们(谢天谢地)没有处在纳税季的阵痛中,但这并不能减少这些骗局对你的关系网或你的员工的流行或危险。
有一天我看到一条推特@nullcookies这显然是美国国税局的税务骗局Nullcookies捕获了一些不同的指示符,在调查这个潜在的骗局时可能会有帮助。你可能会问为什么要调查?在一个组织内部进行调查是有帮助的,原因有很多。首先,它允许安全团队根据威胁对其网络的相对风险来决定威胁的优先级。其次,通过连接到某个指标的基础设施,您不仅可以了解威胁行为者的策略,还可以了解他们的潜在意图。最后,这个映射的基础设施允许您查看归档日志,以查看您的网络上的用户过去是否与该威胁参与者进行过交互,并基于他们的基础设施创建一个自定义屏蔽列表或警报,以躲避未来的攻击。
风险评估
回到税收和税务诈骗(这不是任何人都喜欢的事情),让我们将调查方法应用到IRS的欺诈指标。Nullcookies为我们提供了一些有趣的起点,在本例中,我们将从域名开始搜索;Sa.www4.irs.gov.us.5061364415.revenue.service.jayashritravels。com。在我们开始调查之前,有几件有趣的事情需要马上注意。这个域8子域,这引起了一些危险信号,因为大量使用子域是一种策略,通过向最终用户抛出足够多的胡言乱语来掩盖目标域,从而使他们放弃试图查找它。它还包括一个类似电话号码的字符串,以及不少与美国国税局有关的影射。
快速说明一下,创建子域相当简单。下面是一个关于如何在cPanel上设置子域的快速截图。
让我们把域本身(jayashritravels[.]com)扔到Iris Investigate中,看看我们还能了解到关于这个潜在威胁的什么信息。
DomainTools虹膜调查允许用户插入几乎任何你能想象到的搜索框,无论是电子邮件地址,组织名称,域名,IP等。虹膜调查然后返回解析记录,包括来自DNS和网站爬行的信息,如Whois, SSL证书和谷歌分析代码。这是一个浏览额外危险信号的好地方。在这种情况下,有几件事让我想到了。
这个域名已经有一年多的历史了(祝你迟来的生日快乐!)此外,该领域的风险评分为100,这意味着已经观察到该领域的危害,并且该领域已被添加到行业黑名单中。
最后,我想知道在截屏历史中是否有任何不好的迹象。在取出这段代码后,我在谷歌上搜索了该网站和电话号码,只发现了一个似乎是合法的业务,完整的评论和准确的联系信息:
这些新信息给我留下了更多的问题而不是答案,所以是时候深入挖掘,弄清楚这个域名是否可能被劫持了?他们在进行一场老练的竞选吗?我该有多担心呢?要回答这个问题,我需要映射连接的基础设施。
映射连接基础设施我的第一个倾向是右键单击IP地址,看看这个IP上是否有任何其他域,结果是有62个。在这个IP上扩展时,有一个非常清楚的迹象表明,有一些与这个IP相关的烂域(见下面的截图)。
现在我们已经知道了这个基础设施上托管了多少个域名,我很好奇我们是否能找到这个域名被劫持的证据,所以我将查看托管历史以获得更多的背景信息。为此,我将检查被动DNS解析,它将挖掘任何子域,如推文中引用的8个子域-wonder。为此,我只需右键单击域并选择pDNS。
为了帮助扩展搜索,我将向域添加一个通配符,这样我们就可以看到所有曾经活跃过的子域,包括激发本次调查的子域。从这个列表中需要注意几件事:IP地址37.187.87[。192看起来是恶意的,这当然不是我想在我的日志中看到的。这项调查也非常清楚地表明了威胁行为者的意图和范围(他们不仅针对美国,还针对英国税务海关总署(HMRC)的税收项目)。最后,请注意子域中与电话号码近似的惟一字符串。
请看下面放大的例子:
这个活动的规模是相当大的,但我仍然没有得到其他62个托管在43.240.64[.]84的不好的感觉。为此,我将遍历这61个其他域,并重复被动DNS通配符查询。在这样做的过程中,我发现62个域名中有56个与它们相关的类似的讨厌的子域名。这些活动首次出现在2018年3月,目前仍在活跃。
这些活动针对一些组织,包括英国、美国和加拿大的税务服务、苹果、贝宝、比特币、RBC和AT&T。下面是针对这些组织的恶意子域名的分类:
所有这些证据似乎都指向了一个完整的盒子,而不是一个单一的领域。
阻断和报警
我收集了这个特定的威胁行为者使用的40个恶意ip的列表,你可能会想,我该如何处理这些被判有罪的ip或域名?这是当组织完成两个非常重要的任务时:
- 梳理这些域和ip的归档日志,看看这个特定的威胁行为者是否已经在他们的网络上。如果是这样,补救措施可能会开始。
- 根据捕获的ip和域创建一个自定义屏蔽或警报列表。如前所述,这个威胁行为者似乎在移动基础设施,因此将它们放入IP监视器中,以便在他/她的下一次攻击之前保持一步。
结论
从一个指标(在这种情况下是一条推特,但对于安全团队更可能是他们当地的ISAC、SIEM平台或APT报告),我们能够快速评估这个8条腿子域的相对糟糕程度,扩展并挖掘更多与该活动相关的ip,并创建一个自定义屏蔽列表或警报,以阻止该行为者预订返回组织网络的机票。这个调查过程花了不到10分钟,创造了一些可操作的情报。征税要是这么容易就好了!
附录
要屏蔽的恶意ip
175年85.25.185(。)
132年81.17.132(。)
131年81.17.132(。)
81.17.131。38
128年77.66.12(。)
195年69.89.15(。)
126年69.89.11(。)
198年68.169.59(。)
127年62.128.220(。)
50.62.78。11
151年5.39.89(。)
229年43.241.37(。)
43.240.65。36
184年43.240.64(。)
192年37.187.87(。)
101年31.14.134(。)
27.131.161 40(。)
210年23.91.64(。)
197年23.88.120(。)
242年212.124.114(。)
110年192.241.180(。)
74年192.169.236(。)
78年184.106.196(。)
176年180.149.242(。)
140年178.62.92(。)
115年167.114.92(。)
73年160.36.178(。)
150.242.140 [,] 20
135年150.242.140(。)
134年150.242.14(。)
132年150.242.14(。)
103年150.242.14(。)
217年149.202.53(。)
108.61.83。29
108.61.8。58
93年104.131.77(。)
245年104.130.69(。)
200年104.130.69(。)
103.228.152。44
103.228.152 [] 26
212年103.228.152(。)
影响域
advocatebutala。com
allhealthfitnessbeautytips。com
anandiinstruments。com
arconconstruction(。)
aurahearingaid。com
bafnabrotherskesarwala。com
canoncopiermumbai。com
chairbracket(。)
darshanchemicals(。)
dulhansalons。com
entecke。com
eurospin(。)
防爆(。)
foodguard.co(。)
英国galagali.co(。)
galagalimart [] []
galagaliseo。com
glifelin。com
gloriabanquet。com
gtraveldesk。com
ibjobtraining(。)
ihmthane。org
jayashritravels。com
junansdesign。com
jyoti-advertising。com
knockoutfurniture。com
leemeridianinteriors。com
ltcolsudhakardalvi。com
mardi.co(。)
mdhindia。com
mehadiatradelinks。com
mollysonholidays。com
mysupport乐动体育网址solutions。com
nadiastrologymumbai。com
paripoorna。com
pcnc.co(。)
preserfish。com
raagreet。com
rajentertainments。com
royal-college.co(。)
royalcollegedombivli。com
selectswitches。com
shreepatigroup.co(。)
sinterior(。)
smiileplease。com
spectratankclean。com
studycampus。org
technoimages。净
tobaccoawareness。org
vijayalaxmienterprises(。)
visualgems。com
worldvisiontours。com
yashbiopharma。com
