博客 DomainTools研究

在他们的轨道上阻止加密盗窃

目标攻击简史

使用DomainTools虹膜检测、虹膜调查和DNSDB等工具,强调了加密货币公司参与域检测和被动DNS的必要性。我们最近的研究表明,早期检测网络钓鱼活动和其他恶意的、威胁品牌的行为是至关重要的,因为这些组织继续受到欢迎。

2022年3月18日,HubSpot遭受攻击,黑客通过员工账户访问了数十个客户门户网站。据HubSpot报道这一事件似乎是针对加密货币公司联系人的有针对性的收集攻击。这些公司开始发表声明,包括BlockfiPantera资本天鹅比特币,以及更多。

虹膜检测器和Farsight DNSDB的检测与进一步研究

DomainTools一直培养着强大的安全专业知识和意识文化,随着对Farsight security的收购,这种文化持续增长。这包括一个活跃和繁荣的关于信息安全世界新闻的讨论频道,以及通过我们所做的事情(例如我们最近的免费威胁监测新创建的乌克兰相关域名).我们中的一些人立即开始讨论3月18日Hubspot漏洞是如何为恶意行为者设置加密货币网络钓鱼活动的目标而量身定制的。这种事已经发生过很多次了,包括去年,Pantera Capital的HubSpot账户因虚假的代币骗局而受损

乐动体育 体育培训认证 是一个互联网基础设施检测、监控和执行工具(UI和API),建立在业界最快、最广泛的域发现引擎和最大的域数据数据库之上。在这种情况下,我们选择使用Detect的web浏览器UI,以表明这类调查中涉及的所有内容都可以在浏览器中完成,从而大大降低了这类调查工具的技术门槛。DomainTools Security Operations在Detect中创建了一组与几个受影响公司相关的关键字监视器。

3月18日HubSpot漏洞后建立的域监视器子集

3月18日HubSpot漏洞后建立的域监视器子集

当时的Detect搜索显示了许多与这些关键字相关的可疑域名——这对互联网上的任何人来说都不奇怪,尤其是任何从事金融工作的人。Detect允许我们在搜索结果中选择域,以密切监视变化,以及随着时间的推移继续查看新创建的域。所跟踪的更改包括托管IP和公司、注册商、名称服务器、邮件服务器等等。乐动体育官网下载

blockfi监视器下监视列表域的子集

blockfi监视器下监视列表域的子集

快进到2022年4月3日Trezor宣布MailChimp被入侵,目标是加密货币相关的公司(发生在3月26日)。在HubSpot漏洞发生后不久,这次新的漏洞自然引起了我们的兴趣。虽然恶意行为者继续在互联网上活跃,但他们在加密货币领域尤其活跃。为什么?好吧,就像银行抢劫犯威利·萨顿曾经说过的那样,“因为那里有钱。”这种松散的行为与3月18日的漏洞似乎不仅仅是“巧合”。

特雷佐的一条推文提到了几个特定的领域恶意删除,包括xn——trzor-o51b[.]com。当然,在人眼看来,它是乱码——但这个特定的URL还不是针对人眼的。

你看,URL中的xn前缀是一种技术机制,它告诉web浏览器该域名是一个IDN,或者国际化域名.由于DNS不理解Unicode,其他语言中的域名通过Punycode以ASCII字符形式表示。虽然这种系统有很多好处,但Farsight Security联合创始人兼DNS专家Paul Vixie博士提醒我们,“任何可以被滥用的东西都会被滥用。”IDN替换也是如此。恶意分子经常利用Punycode(从xn—URL前缀开始)来创建相似的域或避免关键字过滤

以上面的例子为例,xn——trzor-o51b[.]com。在html友好的电子邮件或推文中会出现什么情况?

它显示为trẹzor。请注意,特殊的unicode字符不这样做相当看起来像一个e(看起来像“e”下面的小标记不仅仅是屏幕上的“污垢”——它实际上是字母的一部分!)

还有其他方法也会让收件人感到困惑,包括让消息在视觉上显得很忙,或者在消息架构上使用更多的unicode,这样用户就会错过变音符标记。点击,用户期望他们会去trezor[。]com,最后到达xn——trzor-o51b[。com相反。需要注意的是,恶意IDN替换并不是欺骗用户的新技术,它本身并不能作为明确、可靠的指示,因为IDN是用于合法的域国际化的。

鉴于这一可能的指标,我们对前面提到的在Detect中设置的域监控器进行了简要回顾,并查找带有xn——前缀的url。两只很快就被找到了。

xn - blockf-1va[。] com xn - panteracaptal-5ib。com

当从punycode翻译成unicode时,这些在人类看来是什么样子?

blockfi(。] com panteracapital。com

请注意变音符标记,这是与加密货币相关领域中容易混淆的IDN替换,在Detect中显示高风险评分。

这一发现将我们从MailChimp漏洞带回到3月18日的HubSpot漏洞——Blockfi和Pantera Capital都受到了HubSpot漏洞的影响。但是这些区域之间是否存在更多的联系呢?

为此,我们转向被动DNS。DomainTools Iris交叉引用多个被动DNS源,但我们可以直接访问远见安全公司的DNSDB,世界上最大的DNS情报收集。通过使用DNSDB Scout,我们可以通过基于浏览器的用户界面继续访问强大的工具,这是一个易于使用的DNSDB界面,不会削弱相关工具的功能。

通过DNSDB Scout对可疑punycode域进行RRSet查询的示例结果子集

的结果的示例子集RRSet通过DNSDB Scout查询可疑的punycode域

在检查这三个小码地址时,出现了一个有趣的趋势:在几个月或几年的不活跃后,其中两个url再次活跃起来,第三个url是在2022年3月的最后两周新创建的。

xn - trzor-o51b[。]com - new - active as 3/31/22 xn——panteracaptal-5ib[.]xn- blockf-1va[.]com - 22年3月22日新创建的

我们现在至少有三个url通过利用punycode来匹配一个行为模板,目标是相同的行业(加密货币),通过类似的机制(内部/员工访问),在时间上接近但与两次独立的联系数据泄露(HubSpot和MailChimp)相关,彼此在9天内创建或改造。

我们知道乐动体育官网下载的一家公司是客户网络钓鱼的目标:Trezor。通过上述数据,我们可以合理地推断,Blockfi和Pantera Capital都正在或即将经历来自同一行动者的网络钓鱼活动。但重要的是要注意,这确实是一个行为推断,而不是硬事实

截至2022年4月11日,又出现了不少针对Trezor的IDN替换域名:

xn - treor-kib[。]商业xn - trezr-i91b[。]净xn - trer-sqa53f[。com xn - trzr-cpa5d[。]净xn - trzor-csa。org

虽然Blockfi和Pantera Capital也出现了多个可疑域名,但没有发现更多的xn前缀域名。如上所述,Detect使得以整体方式继续监视监视列表域变得简单——查看它们之间可能的联系以及差异。

虹膜检测中的Trezor监视器中监视列表域的子集。

虹膜检测中的Trezor监视器中监视列表域的子集

Hubspot缺口示意图

建议

鉴于最近多起针对加密货币行业的入侵事件,加密货币相关公司应该立即“加强他们的游戏”。使用域名检测和被动DNS解决方案来保护您的品牌,并在针对您公司的活动正式开始之前乐动体育网址检测可疑域名和可能的网络钓鱼活动基础设施。乐动体育官网下载

在其他可用指标中,具有高风险评分的新创建或新激活的IDN-replacement域名可以警告公司即将发生的网络钓鱼或其他即将发生的恶意活动,并允许他们先发制人地请求删除或执行其他预防性操作关键字监控、正则表达式和expandname特性使复杂的查询更容易。

Expandname和regex还允许安全合作伙伴或其他研究人员更容易地搜索被动D乐动首页NS以获得模式匹配结果。这些结果不需要特定于某个品牌或关键字,以识别正在进行或即将发生的恶意活动。另一个例子是SUNBURST和Farsight的相关报告中涉及的域生成算法