第二部分:基于非注册的连接
欢迎回到我关于在后gdpr时代进行安全调查的系列博客。上周我报道了DomainTools风险评分本周,我很兴奋地开始研究非注册的连接。
这既不新鲜也不新奇,但值得记住的是,在后gdpr时代,基础设施并不是个人可识别信息(PII)。这意味着研究人员仍然可以使用像DomainTools Iris这样的工具基于非注册人的信息进行连接和归因。
除了Whois的信息,研究人员知道还有其他几种方法可以将域名与同一个活动或演员团体联系起来。其中一种方法是在域之间链接共享基础设施。通常情况下,低级别的网络犯罪分子通常会在同一个IP空间上托管多个恶意域,或者使用相同的SSL证书。
例如,在已知的APT相关域上搜索并以共享SSL证书散列为中心,会发现有超过180个其他域可能也与同一APT组绑定。
查看这180个域名,可以发现其中许多域名仍然活跃,尚未进入行业屏蔽列表,可能值得进一步调查或屏蔽。
同样值得注意的是,除了SSL证书之外,这些域中的许多都没有通过任何基础设施进行链接——正如IP、邮件服务器IP和名称服务器IP的可视化所显示的那样,这些域在其他方面是完全不同的。
这些域的基本不同性质允许在通过SSL证书连接它们之后进行额外的枢轴转换。以其中一个域名的名称服务器IP为中心,可以发现另外17个未绑定到SSL证书的域名,这些域名可能与同一威胁行为者或活动相关联。
威胁行为者在建立和实施恶意活动时试图隐藏他们的踪迹,但往往会留下大量线索,当这些线索放在一起看时,形成一种“数字指纹”,可以帮助识别他们在其他相关领域的行动。
例如,在一个观察到的特定实例中,一个威胁行为者在同一天注册了许多与医疗保健相关的钓鱼域名。然而,这些域之间没有任何明显的联系,在虹膜中寻找其中一个域看起来是一个死胡同。
通过根据域的特定属性(如创建日期、国家代码、名称服务器和TLD)扩展和缩小搜索范围,我们能够识别出大约400个似乎都与其他医疗保健机构相关的域。这些属性构成了特定活动的“数字指纹”,使我们能够转向并找到与同一参与者和活动相关的更多潜在恶意域名。
作为研究人员,我们习惯于寻找领域之间明显的联系,但有时联系可能更不常见。在一个实例中,一个特定的恶意领域似乎没有任何有用的转向额外的恶意。不过,它确实有截屏历史。
查看截图可以发现,该网页指导用户将恶意软件下载到他们的手机上,并在手机地址栏中包含了不同域名的手机截图。
对该域名进行搜索会发现多个与同一活动相关的恶意域名。
最后,值得注意的是,并不是所有的注册者都完全遵守了GDPR的规定,尤其是那些总部位于欧盟以外的其他地方的注册者。在进行调查时,检查Whois信息可能仍然是有益的,因为有益的枢轴可能仍然可用。此外,Iris中的历史Whois信息可能仍然包含在某个时间点被暴露的注册者信息,即使它现在是私有的,这可能有助于发现恶意网站之间的连接。
在本例中,您可以从可用的Whois数据中看到,在注册人名称、地址和电话号码上有潜在的有益的枢轴。以名称为中心显示了97个其他恶意和潜在恶意域名。
这些例子表明,GDPR法规修订的Whois信息并没有真正阻碍情报和分析过程。只要有一点聪明才智,仍然可以利用有益的支点来发现活动或威胁行为者。下周四,2月21日,加入安全研究员Ryan Weaver,观看本系列的最后一节。本博客将关注开源情报(OSINT)和其他信息共享选项。