域名系统(DNS)
域名系统(DNS)于1984年首次标准化,用于为底层IP地址生成可读标签。DNS使互联网商务的兴起和我们今天所知道的商业网络的使用成为可能。
直到今天,任何人都可以很容易地以低廉的价格购买一个域名,获得一个IP地址,并建立一个主机服务器。这也使得有犯罪头脑的人很容易使用恶意的域名和IP地址。
例如,出于恶意目的操纵目标公司的名称是网络犯罪分子现在经常做的事情。乐动体育官网下载通过注册稍微改变一个组织合法域名的域名,或将试图导航到该公司网站的人重定向到流氓服务器,网络犯罪分子可以实施一系列骗局,如网络钓鱼、点击欺诈、品牌劫持或拼写错误。乐动体育官网下载
几乎所有这些针对公司的恶意活动都利用了DNS在促进互联网流量方面所发挥的核心作用。以僵尸网络为例:受感染的计算节点,或机器人,随时准备响应来自控制器的指令,必须从某个地方获取命令。机器人定期向专门为传递下一级攻击命令而创建的域发送信标。
或者以发送给特定员工的鱼叉式网络钓鱼电子邮件为例,作为试图渗透目标公司的一部分。乐动体育官网下载这种攻击可能依赖于一系列被欺骗的域名,作为攻击的社会工程组件的一部分。
无论是僵尸网络部署还是网络钓鱼活动,攻击者通常会设置数十个、数百个甚至数千个恶意域名,以领先于检测系统和黑名单。最终,这些恶意域名中的每一个都将绑定相关IP地址的一个较小子集,攻击者同样也经历了一些痛苦来保持弹性和隐藏。
考虑到这一点,安全分析师正在采取的一种新方法是寻求DNS和基于域的情报。这是指您将某些方注册新域和IP地址的实例与恶意活动中这些资产的后续部署关联起来。
它始于攻击者总是会留下最具揭示性线索的地方:在Whois记录中,包含每个域名和IP地址块的注册用户或受让人的信息。
在行动中追求领域智能
2016年5月,英国一家在线赌场聘请地平线取证公司(Horizon Forensics)调查一起数据泄露事件以及随后的套现计划,该事件导致该赌场损失了数千万美元的博彩收入。
调查人员Peter Allwright和Dean Olberholzer从这些事实开始:有人获得了安全主管的登录名,并利用它进入了赌场的客户数据库,窃取了电子邮件地址和投注记录。在数据被盗后,一家赌场营销子公司开始向这家英国赌场的豪赌客发送电子邮件,诱使这些赌客转向竞争对手的赌场。
利用窃取的电子邮件地址,该附属机构向英国赌场的客户提供现金奖励,鼓励他们转换邮箱地址,然后从赌客随后在竞争对手网站上下注的金额中获得高达30%的分成。与此同时,英国赌场失去了所有的收入。
奥尔伯霍尔泽首先检查了该附属公司用于营销宣传的IP地址和电子邮件地址的注册信息。利用DNS数据,Olberholzer能够快速地将唯一的IP和电子邮件标识符与最近注册的域名关联起来。
他了解到IP地址和电子邮件地址所使用的名称、地址和电话号码都是虚构的。即便如此,这家附属公司还是毫不费力地建立了一个庞大的矩阵,由数百个空壳公司域名组成,这些域名都与同一组IP地址和电子邮件地址相关。乐动体育官网下载
由于预料到像Oberholzer这样的人可能会打探消息,该附属机构还采取了额外的预防措施,使用Moniker隐私服务对他控制下的数百个域名中的每个域名的注册细节进行匿名化。
为了克服这一障碍,奥尔伯霍尔泽开始按照时间倒序,将该附属公司的电子邮件地址与所有注册过的域名关联起来。他还开始从其他来源关联信息,如谷歌AdSense, AdWords和分析,以及Facebook和Skype。通过采用以领域为中心的方法进行调查,他最终能够将附属关系插入到详细的关系流程图中。研究结果包括:
越来越多的安全专家发现,采用以dns为中心的方法来破解复杂的攻击可以快速地将点连接起来。这种方法将分析师的经验和直觉与组织碰巧已经启动和运行的任何安全系统以及其他公共信息来源的输出相结合,以开发定制的相关威胁情报。
在外部威胁情报来源可能势如破竹的时候,“自己动手”的方法往往很有意义,而且可能与直觉相反,可以节省时间。