简介
在DomainTools安全研究团队的日常活动中,我们定期监控我们的域名收集和发现工作,以发现可能导致我们采取新的调查途径的有趣术语和网站。最近出现的一个网站是account-help-online[.]com。对于训练有素的人来说,这个域名显然是邪恶的,但对于网络钓鱼活动的预期目标来说,这个域名似乎是合法的。由于域名还没有出现在屏蔽列表中,我们决定使用虹膜将进一步调查.
深入挖掘-被动DNS的优势
对这个域的初步检查显示,在虹膜中还没有分配给它的IP地址。我们只检查顶点域在枢轴引擎中分配的IP,但稍后会详细讨论。由于GDPR的修订,除了没有IP之外,还没有注册信息。乍一看,这项调查似乎是死路一条。
然而,在后gdpr时代最有用的工具之一是我们的被动DNS (pDNS)数据。这里的研究团队发现,集成到虹膜调查的pDNS是一个重要的工具,以找到额外的支点,因为pDNS为我们提供了额外的主机名和ip,通常不会注意到,不做推测的DNS查询。在这个例子中,通过搜索该域名上的所有可用记录,我们可以看到这是一个针对贝宝用户的明显网络钓鱼活动。
然后,我们获取该IP地址并将其扔到Pivot引擎中,以“billing”或“ref”开头,以一串数字结尾的120个恶意域名显示出来。通常,钓鱼者会创建数百个域名,这样他们就可以在攻击期间循环使用基础设施。当一个域名被标记为恶意并被添加到屏蔽列表中时,他们就有了另一个域名,并可以立即继续他们的操作。在所有这些域名中,有一个脱颖而出:ee-customer-support[.]com。
EE是一家英国电信公司,是BT集团的一部分,占英国市场份额的乐动体育官网下载30%以下。在这一点上,我们可以看到,这个恶意IP提供的大部分服务实际上是针对英国消费者的计费欺诈。虽然这些领域中有许多被屏蔽,但有很大一部分没有,但我们的机器学习分类器在其中DomainTools风险评分已经准确地将所有的域名评级为99分或以上,这是一个未被封锁的域名可以收到的最危险的评级。
查看这些域名的顶点站点,会发现一个空的cgi-bin文件夹,这通常是钓鱼工具脚本的指示符。不幸的是,如果没有实际的示例,我们无法访问文件,因为HTTP请求被403阻塞。然而,使用URLScan,我们可以找到以前用户对这些域的扫描,这些域包含正确的完整URI,揭示了这些域的情况。在域名计费的情况下,22[。. com我们看到钓鱼者也在攻击另一家英国电信公司。
在这一点上,我们很好奇其他提供商和服务可能是目标,所以我们决定在虹膜调查的pDNS数据中查询通配符域名。据我们所知,它主要针对电信和贝宝客户,但他们在同一个IP地址上托管了许多苹果钓鱼域名,所以我们认为苹果用户也被攻击是安全的。
从这里开始,我们试图扩展并尽可能多地了解这次网络钓鱼活动,看看我们是否能从整体上解开这场活动。我们以在pDNS中发现的域名中列出的MX和Nameserver ip为中心,并能够发现另外203个域名。从那里,我们过滤了屏蔽列表上的域名和那些不活跃的域名,结果在这次活动中总共有75个当前活跃的域名。对这些域名进行一些分析,我们可以看到只有用于活跃钓鱼的正在使用的域名被指向一个特定的域名服务器lion[.]hvt[。李和辛巴[.]hvt[.]李。这给了我们一个活跃的网络钓鱼域名的最终列表来阻止。
总结
这次搜索将我们的范围缩小到18个域名,这些域名正积极用于针对英国电信客户。截至2020年2月撰写本文时,那些目前活跃的域名似乎是专门针对EE客户的,但这可能会发生变化。活动域切换为hvt[。李的域名服务器在竞选期间被关闭了。它们都共享为数不多的一个IP地址。这使得在虹膜调查中追踪它们的进化相对容易。下面包括Iris搜索散列,它将允许调查人员和响应人员查询这些特定参数,以通过Iris API获得此活动的活跃钓鱼域名的不断更新列表。
虹膜调查搜索散列:
U2FsdGVkX1 / H + rTuMIMCymT2QrD1gnvKPJlKJBsxzq8Ws9C3H6vQHOVYVZNWhQBLMg1noYkRFmjJOaZx8 / GOmkMSTc9CrUc6p88gldxGWDkzj7r6kJzGigRZOHi / 3 mh5iqzjxe09vz8rk6s + qLI + VpcT +七国集团(G7) / VhmL3LCjC58xyjW5bKA / sRvEtQh / cihmMZwHivQYWPhAX / PGsI2h3FMLiDDF1jTX + flvdK3IbRZvn / 3 glzttx0otnz19y0rrdbscm1yjen7dsu + dpyIRbLXQrQU + 1 vggm2zulltwct92ydgoiydwrg2cfphjwjbhwrlskuzgv / aqrHSqT4 + HTRa9C3rQm1xeC6ySkMiwHexGv7wud0Txcc5yhV5ZRWy3fWx1u6BmQdXw0TBIbBpERb + y / zHsYaiVGOOPzsJBfn1IO8RJBZsdf0BUhcNHfBcXT8HhoJZw3IRu3q5ptafTIV2WX6LEFesVE9Sy9xRMyRULcwY + bL3SgKMqEIolUerUiWDBTCmOinRjc31Ca / sgZlkVroathBZdiiARE kpsAt0slBoDpuBdra7BQq7u1E + r6rgknVm / 2 u84w / sTR + 8 dftxuyywbwtpbcgqnonedorxtntrduzh7ehf02st5nu2uw / Yk + bzgd4a / zo8JFa + M3BIMMUfYxPrDWCpMLpNsWaAFQSj8Sp2NcoB5Qy5Aqa5uk1 / L4ndAu6cwAgjGLlgABSPMmWLzATK2e1GqJ / / Sa6gp7Erm + nni6cprJBcLnIL7Lx7
