在警车的侧面,你会经常看到“保护和服务”的座右铭——除了在变形金刚电影中,警车的座右铭是“惩罚和奴役”。山姆维特维奇错误地认为警车是他的朋友,但实际上它是反对他的。
有些时候,互联网可能看起来是一样的,因为我们经常看到的域似乎是一件事,但当你仔细观察时,你会发现它们是不同的。在威胁搜索时,你必须非常仔细地观察差异。这里有一个世界杯网站的例子,看起来不错,但实际上是一个骗局:cheapfootball-jersey [.]com。
其他的例子早在2016年1月帕洛阿尔托网络研究团队发表了一篇论文关于一个以“C0d0so0”或“Codoso”为名的中国团体。在这篇特别的文章中,他们提到了两个域,它们是命令和控制(C2)基础结构的一部分。这些是主要提到的领域;
- jbossas。org
- supermanbox。org
- microsoft-cache。com
这些域可能看起来像真实的东西,但当你仔细观察时,你会发现它们一点都不好。
我能够使用DomainTools虹膜调查,了解到这些域名绑定到一个单一的电子邮件地址。使用该电子邮件地址,我设置了一个注册人监视器来跟踪与该用户绑定的新注册和已删除的域名。在我目前的20多个注册监视器中,这一个已被证明是我最活跃的注册监视器。注册到该组的大多数域都是命令和控制域(C2域),尽管参与者也注册了似乎在销售假冒商品的域。就像上面的假球衣一样。
大约在10月1日,我注意到注册或删除的域名数量出现了明显的下降。虽然我注意到暑假等活动的注册人数有所下降,但这次的情况却不一样。我每天只看到一两个新域名被注册,我的许多日常报告都说明域名正在被删除。这引起了我的兴趣,所以我开始看看我是否能找到注册量下降的原因。我通过查看已注册的域名来开始我的虹膜调查,看看他们使用了什么细节,比如注册人的名字。我还过滤了过去30天内注册的域名。
在那里我找到了问题的答案。之前使用的电子邮件地址是bodfeo 163[。我从这个电子邮件地址开始我的调查,并转向注册人的名字“gueijuan xu”。使用虹膜调查中的统计面板,我能够在Hotmail[找到一个新的电子邮件地址bodfeo。在我写这篇博客的时候,有将近2700个用这个电子邮件地址注册的域名,都是在9月底注册的。所以我们可以看到,演员已经开始使用一个新的hotmail电子邮件地址,除了原来的电子邮件地址163[。中国大型电子邮件提供商。
我从这次调查中得到的一个重要收获是更多地了解威胁行为者是如何不断改变他们的战术、技术和程序的。作为安全专业人员,我们必须能够找到追踪威胁行为者的方法。DomainTools虹膜调查监控工具是领先于威胁行为者的好方法。
安全的狩猎。
