在DomainTools,我们一直努力帮助我们的客户更快、更有效、更准确地执行他们的重要工作。为此,今天我们很高兴地宣布对我们的虹膜调查平台进行重大更新,有三个新功能可以帮助您更好地分析对手,映射他们的基础设施,并描述可疑域。鉴于即将到来的与Whois相关的gdpri变化,其中两个新功能可以帮助您“超越Whois”,而第三个功能可以帮助您更有效地挖掘以前的Whois记录。
这个版本中的三个新特性是引导轴心,SSL证书配置文件,历史逆转支持虹膜调查。以下是你可以从这些功能中期待的:
引导轴心了解虹膜调查的核心目的:帮助您找到最相关的基础设施,周围有最多的背景,尽可能快速和准确。导向轴心突出显示与之关联的域数量相对较少的轴心—阈值为500,但如果您愿意,可以将其自定义为更低的数量。这有助于您将注意力集中在最可能表示与起点相关连接的轴心上,同时避免浪费点击,检查轴心后面没有其他域或域太多而无法推断任何连接的轴心。引导枢轴在默认情况下是打开的,但是你可以在枢轴引擎上方的新设置菜单中禁用引导或更改其阈值。
除了这些亮点来指导您,我们还添加了一个功能叫做“主预览。”这将给出一个支点背后的领域的摘要,包括它们的风险评分,以及这些支点与您的结果集中已有的结果之间有多少重叠。枢轴预览可以帮助确认您是否希望使用给定的枢轴前进。
SSL证书配置文件: SSL证书已被证明是安全的最好的“超越Whois”数据集之一用于描述域并查找到相关基础设施的连接。在这个版本中,Iris Investigate提供了一个新的SSL Profile数据面板,可以让您详细检查证书,在某些情况下,还可以找到其他地方无法提供的附加支点。
SSL证书(很多情况下技术上是TLS证书——我们都收集它们)包含大量关于其主题的信息。其中一些信息可以帮助您确定是否正在查看可疑的域。例子可以是:
- 主题的通用名称与域名不匹配,或者域名与主题可选名称扩展名(如果存在)中找到的域名或IP地址不匹配。
- 证书过期。
- 主题可选名称部分中的域名是可疑的或恶意的(可以通过旋转它们来确定)
- 密钥大小很小(1024位或更小,这是一个特别的书呆子!)
关于主题备选名称-那个领域可以是一个旋转的金矿,因为它可能包含与主域密切相关的其他域。在这个版本中,您可以单独地以这些域为中心,或者使用所有域创建查询,就像您在pDNS数据面板中所做的一样。
历史反向Whois匹配:有了这个版本,你现在可以在三个查询词上找到历史匹配:电子邮件,注册人,或“Whois记录包含”。熟悉我们经典的Reverse Whois中“添加历史并获得…”链接的人,就会理解虹膜调查中这个功能的重要性。有了这个版本,当你在这些字段中搜索或主元时,现在您将看到历史上匹配(或当前匹配)术语的域.如果恶意行为者过去在特定的电子邮件地址下注册了域名,并停止使用该地址,您可以使用虹膜调查找到那些以前的域名——即使它们已经过期多年。此外,我们现在指出域是活动的还是不活动的。顺便提一下,它的定义非常具体。
- 活跃的:该域目前已注册(尚未过期),并且/或目前在DNS中被委派。(请注意,在某些情况下,非注册域可以解析——例如当域深陷时,或者当ISP将非解析查询指向“助手”页面时)
- 不活跃的:该域未注册,在DNS中未被委派
当我们有查询术语的历史匹配时,域行将包含一个提示,它将带您到Whois History,特别是到匹配该术语的最近记录。
该功能也是默认启用的,但请记住,它只影响特定的查询类型:电子邮件、注册人和“Whois记录包含”。如果您不希望看到历史匹配,您可以完全禁用该功能,或者在每个查询的基础上;看到虹膜调查用户指南了解更多细节。
威胁行为者正在演变;监管格局也是如此。但是您的需求——评估风险、描绘威胁参与者、绘制他们的基础设施——是不变的。我们相信这些新的虹膜调查功能将有助于您的努力。
一如既往,我们希望收到你的来信。在Twitter上给我们留言@DomainTools或在(电子邮件保护).
快乐的探索。
