简介
当我们谈论调查不良域时,我们的重点通常是通过在虹膜调查、DNSDB或相关工具中找到有效的枢纽来识别起始线索或放大这些起始线索。经常不被讨论的是发生了什么后您实际上已经确定了一组坏域名。一旦达到这一阶段,通常只是沉默。但是为什么呢?
- 也许“每个人”都认为“其他人”一定只是凭直觉“知道”接下来会发生什么?
- 或者有一种信念,认为接下来发生的事情是一种来之不易的“秘密酱料”,必须保密。cone-of-silence?"
- 或者,仅仅因为专业化程度的提高和责任的划分,发现坏域名的人可能永远不会被告知他们发现的结果会发生什么。
不管原因是什么,这篇博客都要谈谈“接下来经常发生的事情”。
一般来说,处理不良域名有三种主要方法,一种是技术方法,一种涉及律师,一种涉及宣誓的leo(执法人员)。
技术方法:阻断不需要的网络流量
技术人员倾向于使用技术方法来解决在线安全问题,事实上,很多时候技术方法可能是解决技术安全问题的唯一可行选择。一般来说,对网络安全问题的技术响应通常涉及阻止不必要的流量。
例子)假设您正在一个暴露于internet的服务器上进行日志分析。该服务器在端口22/TCP (SSH(安全shell)端口上记录了多次登录失败。我们知道,当一个暴露在internet上的SSH守护进程被扫描器发现时,攻击者就会例行公事地继续尝试对该盒子进行暴力密码猜测攻击。这很可能就是这个案例中的情况。但要回应吗?这种行为已经变得如此普遍,以至于许多分析人士只是鼓励这些攻击的目标:
- 自动压制那些暴力登录尝试的来源Fail2Ban或者类似的工具,或者
- 从“默认允许”模型(封锁观察到的攻击源)转移到“默认拒绝”模型,阻止一切(除了少数被认为是安全的特别豁免的静态ip)。
注意,本例中不需要DNSDB(或其他被动DNS产品)—响应过程完全由ip地址驱动。被动DNS也许并不“总是答案”。
例子B)另一个常见问题?容量分布式拒绝服务攻击。在这种情况下,攻击者试图通过用未经请求的垃圾流量淹没这些“管道”来淹没站点与Internet的连接。
如果您遇到容量DDoS,不需要的流量需要“擦洗”(过滤)您的上游网络提供商(s)之前,它可以淹没您的传输链路。当不需要的流量到达您控制的网络时(或者流量被您的外围防火墙阻塞),您直接采取任何行动都将“为时已晚”——大量的流量已经耗尽了您的传输带宽容量。所以,DNSDB(或其他被动DNS解决方案)也不是阻止DDoS攻击流量的“答案”。
示例C)然而,其他时候,有一些基于dns的选项可以帮助从技术上过滤不需要的流量。例如,一些站点使用响应策略区域来创建“DNS防火墙”。对于那些可能不熟悉响应策略区域(Response Policy Zones, rpz)的人来说,它们的工作原理是告诉站点的本地递归解析器在指定站点上“撒谎”,声称它们无法解析,从而防止用户意外地访问他们无法安全访问的站点。RPZ文件可能来自商业网络安全公司的预构建,来自协作社区信息共享工作,或者可能由直接观察到的数据(和/或利用DNSDB发现的其他数据)内部构建。
技术响应不仅仅是阻塞交通
简单地“竖起你的盾牌”并阻止不需要的网络流量可能感觉像是一种非常防御性的网络安全姿态——事实也确实如此。
我应该“Hack Back”吗?
当我们开始考虑超越“严格的防御性反应”时,有些人可能会开始幻想“黑客反击”,或“反击”那些攻击他们的人。我们强烈要求你这样做不采用这种方法有几个原因,包括:
- 至少,你可能会草草收场启动你自己的网络提供商因为违反了提供商的服务条款。
- 网上的归因总是不完美的。你可能认为你知道谁是“攻击你的幕后黑手”,但你可能错了。欺骗和误导是网络攻击的组成部分。
- 对无辜第三方的附带损害实际上是不可避免的。即使“伤害你”的一方坦率地承认他们对你做了什么,以及他们从哪里做的,对他们进行“反击”很可能不可避免地会对无辜的第三方造成损害,而这些第三方恰好与实际目标共享共同的基础设施。你甚至可能最终影响到医院或其他关键基础设施的生命安全系统。
- “黑客反击”在大多数地方都是非法的。如果你选择这样做,你可能会被调查、起诉、定罪和惩罚。不要这样做!
我该如何回应?
那么,什么,如果有的话,可能最终作为一个可接受的“技术”回应,像一个侵权的“仿冒商品”网站?一个常被提及的目标是让侵权网站下架。侵权网站实际上需要大量资源/服务,包括:
- 仿冒品本身的来源(通常是海外制造商)
- 域名注册服务
- 虚拟主机服务
- 权威DNS服务(通常由DNS提供商或web托管提供商提供)
- 网站的SSL/TLS证书
- Web开发服务(这些仿冒商品网站通常是复杂到令人惊讶的数据库驱动网站)
- 重定向器服务
- SEO服务影响山寨网站在搜索引擎中的位置
- 联盟计划,以推动购买假冒产品
- 对购买的假冒产品进行信用卡支付处理
- 放弃运输服务,包装和运输任何有形商品(如山寨运动鞋或山寨手袋)。
在理想的情况下,这些服务的供应商应该防止它们被用于侵权目的。如果发生这种情况,一个侵权的网站将永远无法创建和上线。
不幸的是,有些供应商对他们的客户做了什么完全不感兴趣,“只要支票结清”(执法人员也没有在门口准备好没收商业记录和设备)。这些供应商通常都是“价格战”的参与者,甚至连“了解你的客户”(“KYC”)的入职项目都缺乏收入,更不用说在客户上线后处理来自第三方的投诉了。
坏人之间讨论哪些提供商执行严格的服务条款,哪些没有,分享任何给定提供商会让客户逃脱的数据。
甚至有一些提供商明知专门为网络犯罪分子服务,只要客户愿意为“捂着耳朵闭着眼睛”支付高价,他们就会忽视由此产生的任何投诉。
对于试图让侵权网站下线的辩护人来说,这意味着什么?说服服务提供商自愿终止对付费客户的服务可能很困难。一些提供商会这样做,以避免被Spamhaus或其他屏蔽列表运营商屏蔽。其他人只有在法庭命令的强迫下才会这样做——到那时,侵犯者可能已经达到了他们的目的,并转向新的提供商,使用新的域名等等,一些人简单地将其描述为“泡沫,冲洗和重复”。
但让我们假设你很顽强,你有一个法律团队,不断地让侵权网站下架。然后什么?
- 坏人可能会尝试转移到“暗网”:由于无法使用“常规”网站,一些网络罪犯可能会尝试用“点洋葱”网站取代他们经常下线的传统网站ToR浏览器或支持tor的网络浏览器。虽然ToR可能会帮助坏人抵制让他或她的网站离线的努力:
- 大多数普通用户没有安装ToR浏览器,也不经常使用ToR
- 大多数搜索引擎不会在搜索结果中索引dot onion网站。
幸运的是,这意味着暗网只会作为一小部分“高度积极”的卖家和买家的可行选择。
- 坏人可能会尝试使用加密货币而不是信用卡:信用卡既是潜在的控制点,也是潜在的去匿名化线索的来源。如果信用卡公司收到有关网站销售侵权乐动体育官网下载产品的投诉,并提高了该网站接受信用卡的能力,这可能真的会造成伤害。信用卡通常也可以追踪到“肉空间”中的真实派对。使用加密货币而不是信用卡最大限度地减少了这两个“缺点”——除了许多潜在客户可能还没有准备好使用加密货币买卖这一点,而且许多加密货币可能不像用户预期的那样匿名(例如:比特币泡沫破裂,导致网络上最大的虐童网站崩溃)
- 坏人可能会转向不需要实现有形商品的在线计划。例如,网络犯罪分子可能不再销售非法毒品或假手表,而是转向高收益投资计划(HYIP)诈骗、抽吸和抛售股票垃圾邮件、在受感染的服务器上进行加密挖掘、勒索软件攻击等。
然而,大多数网络罪犯发现他们成本最低/最容易实现/最成功的选择仍然包括通过传统的域名注册销售实际零售消费品,利用传统的权威DNS服务,传统的网络托管,传统的支付渠道等。坏人将继续使用他们可以“逃脱”的最简单、最便宜的技术。
好消息是,只要这是真的,防守者将继续能够至少在理论上利用:
- 的统一域名争议解决策略(UDRP)作为一种质疑与投诉人拥有的注册商标或服务标志相同(或混淆相似)的域名的方式
- ICANN Whois不准确投诉流程(比如,后gdpr时代)
- 在网络钓鱼和其他特定类型的滥用情况下,一些关键资源可能愿意直接接受报告,例如:谷歌安全浏览钓鱼报告
- Web主机可接受使用政策(AUP)/服务条款(TOS)强制执行,以及
- 针对网络犯罪网络操作技术方面的相关方法。
这些和类似的过程最大的问题是它们固有的“不对称性”:
- 网络犯罪分子可以轻易地从一个域名转移到另一个域名,就像蛇蜕了皮一样,但另一方面,
- 可能会有巨大的成本和管理费用阻碍防御者成功地对抗这些恶意行为者。
推荐给第三方专业服务提供商
如果上面这些看起来很累人(比你想要弄清楚和与自己斗争的还要多!),有一个方便的选择可能会吸引很多人:将你发现的潜在问题域的处理外包给第三方专业服务提供商。
“在这里。我们找到了那个地点
为什么这是一个有吸引力的选择?嗯,大多数公司更喜欢专注于他们的核心竞争力,而把杂项职能外包给那些选择专攻这些领域的人。例如,一家奢侈品制造商可能擅长制造和营销这些奢侈品,但可能没有有效打击网络犯罪所需的内部专业知识。相反,他们可能更喜欢将这项工作外包给专门从事品牌保护或商标执行的第三方。乐动篮球视频
这种“买而不是建”的决定通常是多种因素共同作用的结果:
- 第三方服务提供者的功能和专门化
- 需要处理的事件数量(大量事件?更可能由内部处理。更少的事件吗?更有可能被外包)
- 第三方服务提供商与内部替代方案的缓解时间
- 由第三方服务提供商处理事故的成本与内部建立和维护这种能力的成本
- 结果的质量——第三方服务提供商获得的结果是否比公司本身更好?乐动体育官网下载
- 服务提供者可以利用的专门技术和独特关系
- 宣传、责任和赔偿方面的考虑。
涉及犯罪活动的案件转介执法部门处理
某些类别的在线内容是宣誓的执法人员或法规指定的其他实体的专属责任。例如,涉及网上儿童性虐待材料的事件(“CSAM”)由以下机构负责:
- 国家失踪和受剥削儿童救助中心(NCMEC)在美国,与联邦调查局
- INHOPE在欧洲和世界上许多其他地方工作欧洲刑警组织而且国际刑警组织以及国家刑事当局。
任何在网上遇到CSAM的人都应立即向有关当局报告。从来没有尝试自己调查CSAM !
- 毒品管制局(DEA)和/或FBI(最常见的是涉及联邦计划的麻醉品和类似的危险药物,见https://www.dea.gov/drug-information/drug-scheduling)
- 州警察(或专门的州毒品执法机构),如果特定的毒品在州一级比在联邦一级更严格
- 美国食品和药物管理局(FDA),如果您发现的网站涉及FDA负责监管的非计划处方药(或医疗设备),特别是在带有所谓“盒装警告”的药物的情况下,这些药物具有严重或危及生命的风险。
- 美国海关和边境保护局(CBP),美国移民和海关执法局国土安全调查局(HSI),和/或邮政检查局,这取决于毒品如何从来源转移到购买者。
当局可能感兴趣和活跃的另一个领域的例子是在线毒品销售。
一般来说,你不需要担心把你的报告交给正确的机构。一旦你提交了你的初次报告,相关机构将会合作处理适当的转介(以及与已经进行的行动的冲突,如果有的话)。
不知道该向谁举报诈骗案件和其他网络犯罪?FBI是一个很好的选择网络犯罪投诉中心(IC3)
有时候似乎什么都没有发生
就像传统的“实体”犯罪一样未报告,未解决,没有什么当怀疑是坏域名被发现并报告给当局时,可能会出现这种情况。这可能是由于:
- 每个人都已经很忙了,甚至可能已经在加班,根本没有时间做更多的事情
- 有些事件可能非常复杂,难以理解和调查——网络犯罪分子可能故意混淆正在发生的事情,以至于非技术用户(甚至是一些技术用户!)可能会发现自己进入了似乎是调查的“死胡同”。
- 有些事件可能看起来无关紧要,调查人员没有意识到他们发现的可能只是更大事件的一部分(再次强调,有些事件可能真的没有达到最低阈值,在进一步调查得到批准之前,往往需要超越最低阈值)
- 违规地点可能位于腐败盛行的地区,在那里可能难以获得官方合作和实施“法治”。
其他时候可能会出现,在实际取得进展时什么也没有发生,它可能只是“缓慢而稳定”地发生,对你来说没有可见/透明的进展。
要理解为什么会发生这种情况,您需要知道调查人员可能被禁止与任何外部人员分享他们的调查状态,即使“外部人员”碰巧是受害者或最初的报告方。
调查也可能需要几个月甚至几年的时间才能结束,因为繁琐的程序正在进行。
面对这种缺乏可见性的情况,可能需要耐心——有时甚至是信心。
另一种需要注意的可能性(最常见的是与恐怖主义有关的案件和与有组织犯罪有关的案件)是,已经报告的坏事可能会被故意“留下来”,以便当局监视它以获得额外的情报。
保留一个已知的坏网站似乎是一件违反直觉的事情,但请记住,关闭一个坏网站可能不会阻止一个坏组织正在做(或计划做)的事情。它可能会干扰正在进行的调查。
事实上,拆除一个糟糕的网站可能会迫使调查人员“从头开始”。坏人去哪了现在?我们能发现他们的新位置吗?我们能得到新的法庭命令去监视那个新地点吗?从技术上讲,我们能安排进入那个新系统或网络吗?或者我们现在实际上完全“盲目”了?
有时候,你可能只需要相信你的报告正在以适当的方式处理。
结论
我们希望您现在至少对发现可疑域名或IP地址后可能发生的情况有了更好的了解。
如果您想谈论更多关于DomainTools资源如何帮助您的调查,请立即联系我们: