域的数据点
当涉及到分析对手和绘制他们的基础设施时,更多的数据肯定更好。你可以这样想:如果你即将降落在敌人的海滩上,你知道那里有炮台,你就会想知道所有炮台的位置。知道其中一些,甚至大部分,仍然预示着糟糕的一天;但如果你能提前把它们都中和掉,那么在一天结束的时候,你的状态就会好得多。这就像网络攻击对手所使用的域名和IP地址:你所看到的-第一个向你“开火”的东西几乎肯定是一个更大的进攻结构的一部分.然而,在几乎每一种情况下,你观察到的第一个物体都有附加的数据,可以帮助揭露更大的活动。
我们用来做这个的数据有很多不同的形式,从DNS映射到Whois记录到SSL证书到web跟踪代码,等等等等。但所有这些不同的数据类型可以被认为为研究人员提供两个关键功能:描述和连接。大多数数据点两者都有。
Characterizers是数据点,告诉你你在处理什么。您可以了解控制基础设施的参与者、他们的目标、他们的MO,有时还有他们的TTPs(战术、技术和过程)。
连接器是数据点,帮助将给定的域或IP地址与可能属于同一活动的其他基础设施联系起来。在大多数情况下,一个域或IP将具有一些非常有价值的连接器,而另一些则没有。稍后再详细介绍。
我们经常认为Whois的记录数据是我们调查的中心虹膜调查,但事实上从Whois记录之外的数据点中可以获得难以置信的价值.下面是一些例子:
- IP地址:可能是一个很好的连接器-这个IP上还有什么其他的域?
- IP地理位置和ASN:地理位置可以是一个很好的特征——一个域的IP位置看起来合乎逻辑吗?
- ASN自治系统号也可以是一个连接器。
- 截图:当一个域名有一个网站建立和运行,截图可以是一个很好的特征。此外,截图可以揭示意图。
- 响应代码:当web服务器存在时,它会给出什么响应码?
- 谷歌分析和Adsense代码:从基本意义上说,这些可以是特征符——它们显示一个网页的存在,并正在进行一些跟踪——但它们也可以是很好的连接器:哪些其他域共享相同的代码?
- MX记录:这些记录还可以挖掘出与其主机IP不同的额外IP地址,为通过恶意基础设施转移提供了另一个机会。
- SSL散列:这些可能是很好的连接器:哪些其他域正在使用相同的SSL证书?
- SSL组织和国家:它们可以是连接符和特征符。基于您对域的其他了解,SSL组织和国家是否有意义?
- 重定向:如果一个域有一个页面正在重定向到另一个域,重定向是否告诉你什么?或者,作为连接器,是否有其他域共享相同的重定向目标?
显然,并非所有数据点在连接或表征价值上都是平等的。例如,如果一个域名与其他一百万个域名共享其IP地址,这就没有多大价值,因为a)没有人会审查一百万个域名来寻找模式;第二,像这样高的数字很难推断出域之间的任何具体联系。另一方面,如果一个IP有10个域名,甚至几十个域名,那么它们彼此关联的几率就会更高对人类来说,开始评估这些联系是一项很快的工作。
例如:俄罗斯恶意软件域
域microsoftfree。俄罗斯不是一个从微软获得免费产品的好地方——相信我们的话!该域名已经被添加到恶意软件的行业黑名单中,即使它没有被添加进去,快速浏览一下它的域名配置文件就可以确认它不受我们在雷德蒙德的朋友控制。但是让我们使用一些特征和连接器来看看这个域是否属于一个更大的活动的一部分。
剧透警告:注册者,私人,不是一个低级别的俄罗斯军队成员。这是.ru注册表授予Whois隐私的方法。所以Whois的数据对这个领域没有太大帮助.幸运的是,还有其他一些数据点很有趣。
特别是名称服务器主持人很突出。名称服务器和IP都是潜在的好连接器——注意,连接到它们的域名数量相对较少,但名称服务器获得额外的“特征点”,因为它的域名是看似随机的键盘粉碎字母。合法域名一般不会与这样的名称服务器相关联.让我们看看第二个域名服务器(因为它有42个域名),看看我们得到了什么。
这是共享该名称服务器的42个域名中的几个的特写。请注意,这些都是最近的注册(到撰写本文时),并且它们都有SSL证书与他们有关。证书与各种各样的源相关联;很可能至少有一些是“借来的”,比如惠普企业版的。这些都是很好的特征;它们告诉我们,这些域打算使用HTTPS,但证书并不是真正用来向访问者传递信任或真实性的。这里也有一些很好的连接器——一个来自sputnik-forum[。ru连接了107个其他域。这表明它们之间存在某种关系。虽然不能保证,但这增加了他们拥有相同证书的可能性,而不是巧合。
当我们以SSL散列为中心,然后过滤到自2018年1月1日以来注册的域名时,我们发现50个域有相当高的风险得分-有些人已经被定罪(得分100分),而其他的人都是高风险的(最低分73分)。
只需要几个支点这些都不依赖Whois的记录-我们已经确定了一系列有说服力的领域,它们a)相关,b)有风险。我们可以将这些文件下载为.csv文件,以便构建自定义块列表,或者将其作为STIX文档与信任组共享。虽然这组特定的域可能与您的环境无关,但是分析人员和威胁搜索者每天都在应用我们描述和连接它们的过程,他们试图从初始指标扩展到映射和评估潜在危险的基础设施。记住——如果你的起点是一个涉及到你的网络的域或IP,那么这个指示器实际上是相关的。推而广之,任何与之密切相关的事物都是令人感兴趣的。
这些数据点提供的特征和连接验证并强调了我们收集和提供可用的最佳、最全面的基础设施概要数据的承诺。
