*以下博客仅代表埃米利奥·卡斯巴斯的观点
在网络造假的背景下,有四类领域值得讨论:
- 造假者登记
- 免费托管
- 合法但妥协
- 过期的
为了对每一种类型有更多的了解,你可以看看SANS论文"追踪网上造假者”。为了这篇博客的目的,我将专注于使用一个假冒域名(http://www.pradaus[.]com,在写这篇博客时它是活跃的)来挖掘和绘制一个全面的活动。
图1:仿冒相关网站www.pradaus[.]com
即使是造假者也必须通过注册商注册域名,但尽管如此,Whois的数据也可能被欺骗。事实上,如果造假者从未打算管理他们的域名,他们可以使用一个假的电子邮件地址。这种情况通常适用于注册命令和控制(C2)域的坏人,但通常不适用于与假冒相关的网站,如上图所示:
图2:注册假冒相关网站www.pradaus[.]com的合法邮件地址
其他考虑因素是,注册服务通常将隐私保护作为一种服务出售。在这些情况下,只有隐私代理服务和注册商拥有注册商提供的信息。隐私代理服务将域名所有权在购买后不久转让给注册人。在这种情况下(也经常在C2域注册中看到),初始注册将充当代理,然后注册人数据稍后可能会更新,以反映实际的域所有者。注册信息的这种类型的更改是您可以轻松跟踪的DomainTools警报.例如,一个欺骗阿迪达斯的域名更改了注册人信息:
图3:关于新的域所有者的Domaintools警报
我用DomainTools的监视器跟踪的一个领域是去睫毛膏。我养成了一个习惯,就是密切关注与假冒相关的域名,以及它们是如何成熟的。沉浸在这些任务中,我调查了域名:http://www.123australian[.]com。这个域名引起了我的兴趣,因为尽管显示了假冒域名的所有迹象,它在假冒域名服务器上有阻止对策。
图4:用DomainTools.com提取的注册域
域名:http://111MediaGroup[.]com暴露了类似的行为。在这种情况下,域名是在欺骗阿迪达斯,但是丹麦语。
图5:注册DomainTools.com提取的域
根据Whois的公开数据,我开始怀疑这两个域名共享同一个命名服务器。此外,两个域名都是最近创建的,邮件注册都利用了该域名。网(一家中国公司)。乐动体育官网下载
图4和图5都是用free提取的DomainTools Whois查找工具.另一方面,虹膜调查是一个产品,提供额外的见解,同时调查在线欺诈。在这种情况下,使用虹膜调查在调查上述域名时,我发现了一个大规模的新活动,约有5万个与假货相关的网站(所有这些都在不到5分钟内完成)!
以下是我用来分解这个大型活动的一步一步的过程:
1.我访问DomainTools虹膜调查从https://research.domaintools.com/Iris:
图6:虹膜主网站
2.我搜索了之前调查中发现的IOC: 111mediagroup[.]com:
图7:使用Iris工具调查Web域
3.在Whois的数据中,我暴露了相同的邮件地址Whois查找工具加上两个额外的电子邮件地址。通过右键单击电子邮件地址yinchu4c@163[。] . com,我能够看到共享这个注册电子邮件的其他域名的数量。
图8:指示器(web邮件地址)的转轴
4.53,361个域共享此值。为了评估共享相同注册邮箱的域名,我点击了“扩展搜索”。在顶部菜单中,我可以看到一个新的滤镜:
图9:多过滤器搜索(web域和web邮件地址)
通过简单地滚动这个查询中包含的域名,我可以告诉这个活动是针对一些品牌,通过简单地使用顶级域名,如。com, .de和。top。
除了调查ioc之外,DomainTools Iris还允许我以三种格式与其他组织或合作伙伴共享信息:CSV、STIX 1.2或STIX 2.0。乐动首页
让我们看一下不同顶级域名下的一些示例。
图10:针对新百伦品牌的假货相关网站:122ratto[.]com
图11:多品牌仿冒相关网站:0entropie[.]de
图12:多品牌仿制品相关网站:a1ecosolutions.co[.]uk乐动体育网址
图13:针对Reebok的仿冒网站:reebokclassic[.]es
图14:多品牌仿冒相关网站(汽车零部件、玩具、电子产品等):aamumalls[.]top
图15:多品牌假货相关网站:aan-massage[.]nl
图16:多品牌假货相关网站:10shark [.]org
总之,我能够以一个IOC为例进行扩展,并确定针对知名品牌的整个活动。对于那些想要保护消费者,主动购买域名以确保他们的品牌资产不被用来对他们不利的品牌来说,这种技术尤其有价值。
更新:指示灯yinchu4c@163[。]com继续注册更多与假冒相关的域名。几天内,同一名黑客又注册了约1400个与假冒相关的新域名。