根据你对某些科目的兴趣,可以随意跳到下面:
简介
在一个典型的早晨,当你收到财务团队发来的一封紧急邮件时,你可能正在喝茶或喝咖啡。他们收到了来自首席财务官的奇怪请求,要求立即支付资金,你怀疑这是商业邮件妥协。就在你的午餐后食物昏迷开始后,你的任务是对端点检测检测到的事件做出响应,所以你迅速将端点拉进来做一些分析。最后,当您准备关闭一天的笔记本电脑时,您听到一位关心您的组织拥有的基础设施的经理的来信。您的组织是否拥有一个完整的域列表?这个模糊的领域只是营销部门忘记与你的团队分享的东西吗?或者攻击者想要攻击您的组织?为了在以下情况下采取适当的行动,在合理的时间内完成一天的工作,你可能会问自己这样一个问题“我可以使用哪些数据集来获得更多的洞察力和背景,以解决这些场景?”
本系列博客的目的是强调一些被经验丰富的IR团队证明在分析网络基础设施时是有价值的数据集。在本系列文章中,我将提供一些背景信息,介绍这些数据集存在的原因、它们如何与您自己的内部威胁情报交互以及它们的主要优势和限制。我觉得自己有点像西南航空公司的空姐“我们知道,在选择威胁情报时,您有很多选择,我们感谢您选择[在这里输入数据集]进行调查!”但在现实中,许多像你一样的人正在处理大量的内部和外部情报,所以我希望这篇博客突出了一些存在于你的工具箱中的工具,并可以帮助识别它们在什么时候是有价值的,以完成你的“威胁情报钉板”。这样,当你看到前面提到的场景时,你就有信心你没有错过的信号。
在这篇博客中,我将关注域名系统(DNS)。要命名它的一些组件,您需要IP地址、名称服务器主机名和IP信息、起始授权机构(SOA)记录和顶级域(tld)。在真空中查看这些类型的数据远不如理解它们彼此(和其他数据集)之间的关系有价值,所以如果我不提醒您阅读,那就是疏忽了乔Slowik杰作”将网络基础设施作为复合对象进行分析,他阐述了如何根据网络可观察物的关系和组成模式分析网络可观察物,这反过来产生对对手行为的洞察,丰富了网络指标的价值。
信贷:乔Slowik
什么是域名系统(DNS)?
可以想象,DNS是我们在DomainTools的一杯茶。在很短的一段时间里,我们在内部开玩笑说要开始一个叫做“醉酒DNS”的系列(一个巧妙的模仿历史频道的《醉酒史》).当然,DNS在整个安全行业中既受欢迎也受诅咒(取决于具体的日子)。末丹Kaminsky早在2008年,他就发现了DNS的一个根本缺陷,并宣称“总是DNS”。一个流行的俳句也表达了类似的情绪。
DNS是相当强大和庞大的,因此许多人把它的复杂性描述为安全缺陷。虽然它确实可能被滥用并产生安全风险,但DNS的丰富性也使它成为信息的宝库,而作为一个行业,我们利用少量DNS记录只是触及了皮毛。但是为了建立基础,让我们从DNS存在的原因和它是如何运行的开始。
DNS的历史
DNS的过程,我马上就会解释,可以追溯到阿帕网.SRI国际(以前被称为斯坦福研究所)维护一个被称为HOSTS.TXT的文本文件,它将主机名映射到阿帕网上计算机的数字地址。这个过程是由美国信息科学家,伊丽莎白Feinler.这些地址是手动分配的。您可以调用SRI的网络信息中心(NIC),他们会获取计算机的主机名和地址,并将它们添加到主文件中。
Elizabeth Feinler,资料来源:纽约历史协会博物馆和图书馆
可以想象,这种维护集中式主机表的手动过程很快就变得太麻烦了。到了80年代早期,需要一种自动命名系统的方法。因此,1983年建立了域名系统(DNS)。互联网工程专责小组(IETF)发布了最初的DNS规范RFC 882而且RFC 883.DNS之后,加州大学伯克利分校的学生为伯克利互联网域名域(众所周知的BIND)编写了第一个UNIX服务器。(如果你对这个话题感兴趣,我强烈建议你收看我们和保罗·维西的播客他从1985年开始维护BIND,直到BIND被移植到Windows NT平台。)
DNS是如何工作的
信息高速公路上的所有设备(无论是你的智能手机、笔记本电脑等)之间使用我们类人所知的“IP地址”进行通信。这一描述总是让我想起《办公室》中的一集,Dwight发现自己与Dunder Mifflin在线商店进行了一场史诗级的销售对决,他喊道:“我猜你读二进制,你为什么不011 1111 011 011!”有一个令人愉快的Reddit线程如果你感兴趣的话。
图片来源:《办公室》,NBC环球
我很抱歉打断你,说到哪了?啊,是的,IP地址。DNS存在的原因之一是,要记住174.35.6.21来欣赏洋葱对讽刺的精彩使用是非常困难的(如果他们有一个专门的路由器就好了?)相反,下面的过程在幕后进行,称为递归查找。下面是这个过程的步骤列表:
- 你在浏览器中输入theonion.com。然后,浏览器发送一个查询以查找相应的IP地址。
- 此查询的第一站是递归DNS解析器。有数以千计的递归DNS解析器,它们可以由您的Internet服务提供商(ISP)、第三方或无线提供商操作。递归DNS解析器知道哪些其他DNS服务器可以帮助回答“theonion.com的IP地址是什么?”这个问题。递归DNS解析器不能回答此问题,除非已经询问并回答了相同的问题,否则响应将被缓存以供将来的向前查找。
- 因此,递归解析器将要求根DNS服务器回答相同的问题(theonion.com的IP地址是什么)。有全球共有13个根DNS服务器.为了帮助回答这个问题,根DNS服务器从您正在查找的域的最右边开始,称为顶级域(TLD)。在我们的示例中,TLD是。com。
- 此时,查询被引用到TLD名称服务器。这些服务器存储第二层域的信息(在我们的例子中是“洋葱”)。
- 这将使我们到达域的权威名称服务器,它将整个域的IP地址返回给递归DNS解析器。
- 此时,递归DNS解析器将问题的答案告诉浏览器;174.35.64.21.现在您的浏览器可以抓取网站的内容和voilà!你正在享受美味的讽刺。
信贷:Quest10
这一切都发生在眨眼之间,通过这个过程,您可以分离出许多有趣的工件来为您的调查提供信息。我们将在下一节中详细讨论这些单独的方面。
对于一次性的DNS查找,您的命令行/终端可能是一个有用的工具。这里有一个快速指南终端查找(注意,本文错误地暗示反向查找可以显示IP上的所有域,但在其他方面看起来是准确的)和命令行提示.
来自DNS的宝贵工件
DNS中有很多经常被遗忘或忽视的价值,那么哪些指标应该引起您的注意呢?在下一节中,我将介绍DNS的关键元素,并在利用这个数据集时包含一个有趣的信号列表。
互联网协议(IP)
对DNS来说,可靠的类比就是黄页。域名是你要找的人的名字,IP是他们的电话号码。我在上面介绍了这个过程。
在IP地址的安全方面,有一句熟悉的格言是“租一个IP,买一个域名”,这意味着威胁行为者有能力在他们的基础设施中随意移动,使得IP比“电话簿”对应的域名更短暂。不管怎样,查看ip可以提供一些关键信息。
- 快速变化的IP地址可以是一种暗示吗快通量DNS技术被威胁分子雇佣。快速通量是通过将多个IP地址与一个完全限定的域名(FQDN)相关联来执行的。通过修改DNS记录,IP地址的交换频率很高。通过这种方式,僵尸网络能够隐藏他们建立的网络钓鱼和恶意软件网站。参与者还使用快速通量技术在c2基础设施中循环。
- 托管在单个IP上的域的数量可以帮助你辨别某人是否建立了自己的基础设施,或使用了托管提供商(如GoDaddy)。在一个共享IP地址的少量(几百个或更少)域上进行转移和扩展可以为您提供某种程度的意图。举个例子,当你看到一致的命名,特别是当结合相对低的种群时,那么域名更有可能是一个有意义的集群,即它们是相关的。复杂程度可能高,也可能不高,但在识别集群时,您有一个很好的取证元数据(元元数据?)但是,如果您注意到在一个IP地址上有大约100,000个域,这将表明商品托管基础设施。这并不一定证明该领域的相对糟糕。然而,它对于过滤掉你可以忽略的指标是有用的,因为它不会真正为调查添加任何有意义的信息。
命名服务器
名称服务器是DNS的重要组成部分,是基础设施基础的支柱。为了清晰起见,我将引用权威的名称服务器(而不是TLD的名称服务器)。这里有一些需要注意的东西。
- 防弹托管这也引起了人们的担忧。这些供应商以拒绝下架恶意域名而闻名。我很乐意列出这些组织的名单,但不幸的是,它们一直在变化。如果你对防弹主机感到好奇,我建议你阅读Brian Krebs的深入的文章.
- 指向域名服务器或域名服务器IP的域名数量,类似于我上面对IP地址的描述,可以快速指示某人是否建立了自己的基础设施。
- 天坑域名服务器:如果一个域已经被天坑,该域的NS记录将指向运行天坑的域名服务器。含有大量已知恶意软件家族恶意域名的域名服务器,如果不公开列出,通常会泄露一个漏洞。不幸的是,没有一个关于天坑的中心列表,所以你必须用你最好的判断和确证的研究来确定他们是否在看天坑。微软的天坑事件报告是推荐的资源。
- 一个域的名称服务器的数量:通常合法域名有多个域名服务器(即ns1.costco.com, ns2.costco.com, ns3.costco.com)。通常恶意的基础设施只有一个名称服务器(即ns1[.]castco[.]com)。此外,如果域有多个名称服务器,则可以查看是否有多个IP地址,或者它们是否都托管在同一个IP上。这不是恶意的证据,但这可能是一个继续调查的好信号。
- 命名服务器托管例如,名称服务器从默认托管名称服务器更改为唯一的或“精品”值,这可能表明某人正在运行自己的名称服务器。下面列出了一些流行的主机提供商的主机名,供您快速参考。大多数公司现在使用托管的名称服务器提供商,所以NS指向同一个域通常是对手控制域的指示,至少是指示它是一个较小的、所有者管理的操作。这可能表示DNS隧道或命令和控制。
| 主机提供商 | 命名服务器命名约定 |
|---|---|
| GoDaddy | ns[数字].domaincontrol.com |
| CloudFlare | name.ns.cloudflare.com |
| Bluehost | ns[数字].bluehost.com |
| OVH | ns[数字].dns——(字母).ovh.net |
| AWS | ns -[数字].awsdns[数字].com/net/org/co.uk |
| Hetzner | (周期元素).ns.hetzner.com |
| 液体网络 | ns[数字].liquidweb.com或ns[数字].sourcedns.com |
| SiteGround | ns(数量)。[字母和数字的组合].siteground.biz |
| DreamHost | ns[数字].dreamhost.com |
| 数字海洋 | ns[数字].digitalocean.com |
| InMotion托管 | ns[数字]inmotionhosting.com |
托管提供者及其命名服务器命名约定
起始授权机构记录(SOA)
的起始权限记录定义管理信息DNS区域级别,它们是域所必需的。然而,通常情况下,SOA值只是由宿主/注册者提供的默认值。简单地说,分析人员正在SOA数据中寻找一个非默认的、惟一的电子邮件地址。SOA记录通常包括名为MNAME、RNAME、serial、Refresh、Retry、Expire和的字段生存时间(TTL).我不会一一描述这些元素,但如果您感兴趣,可以阅读更多相关内容在这里.
- RNAME是包含在SOA记录中的一个极其重要的字段。这是负责该专区的管理员的电子邮件地址。在后gdpr时代,这些没有在SOA记录中编辑的电子邮件地址可以是帮助关联活动和活动的唯一共享属性。您可能还会找到名称服务器托管提供者的管理电子邮件,这不是很有价值。在SOA记录中包含rname并不常见,但它们是很容易实现的。嘿,有时威胁执行者会犯简单的opsec错误!
- TTL的长度可能是坏人使用技术的信号。较短的TTL(一秒或两秒)意味着DNS将继续进行查找,因为参与者正在移动基础设施,使供应商和防御者更难捕获它们。短的ttl并不总是不好的迹象。它们也常用于内容传递网络(CDNs),目的不那么险恶。
邮件交换/交换(MX)记录
邮件交换记录将电子邮件指向邮件服务器。它描述了电子邮件应该如何按照简单邮件传输协议(SMTP)。MX记录必须指向另一个域。MX记录还包括一个规定优先级的优先级(数字越高,优先级越高)。
- 同一域上邮件服务器的MX记录,与名称服务器非常相似,表示所有者管理的设置。在这种情况下,这与邮件服务器验证,如发送者保护框架(SPF)记录相结合,这可能是一个迹象,表明攻击者试图使他们的邮件看起来合法,通过邮件服务器进行网络钓鱼。
- 非标准MX记录这意味着MX记录没有被IP/名称服务器的托管公司建立起来是一个有趣的信号。乐动体育官网下载这可能意味着他们在本地操作自己的电子邮件服务器,因此更容易监控他们的活动和配置他们的行为。
- 域内MX服务器的个数:同样的规则适用于MX服务器和命名服务器。一个域上MX服务器的数量可以很好地指示某件事是否合法。如果一个域有两个左右的MX服务器,这对于有效域来说是非常典型的。但是,如果只有一个MX服务器,或者这些MX服务器的托管位置不匹配,这就需要引起关注。
- MX记录名字:“奇怪”的MX记录,特别是如果MX服务器名称与域名本身的语义结构非常接近,则是糟糕的一个很好的指示器。如果您看到一堆具有通用命名模式的域,如“{10,11,12,13,14…}sharepoint-login[.]”。com“这些很可能是钓鱼域名。类似地,当看到一堆域名的名字像“k23j23jklkjlkj32l[。]com”,人们可能会认为它们与垃圾邮件基础设施有关。
顶级域(TLD)
根据前面关于DNS如何工作的描述,顶级域位于根域之后的层次结构中第二高的级别。截至2020年6月,顶级域名超过1500个。顶级域名的数量近年来激增,现在任何已建立的公共或私人组织都可以申请创建通用顶级域(gTLD)。这增加了攻击者利用相似域攻击组织或利用可信品牌最大化可信度的表面积。
- 如果TLD不常见(常见的顶级域名包括。com, .net, .org, .edu,或相关国家代码TLD (ccTLD)),这是一个信号。一些顶级域名高浓度的恶意域包括。top、。cyou、tk和。ml。
在您的环境中利用DNS进行调查
上面的列表应该是利用DNS的一个很好的起点。没有任何有用的调查或分析发生在单一数据集的真空中,所以下面我将重点介绍与DNS配对的补充数据、自动化这种方法的方法,以及最后当您的调查或分析完成时应该采取什么行动。
什么能很好地与DNS配套?
- 关联抓取(实时和缓存)网站、名称、文档、社交网络(反向链接)、任何隐藏页面和用户名(句柄)
- 被动DNS(生产)
- 站点跟踪代码(例如谷歌Analytics)
- SSL (Secure Sockets Layer)/ TLS (Transport Layer Security)证书
- Whois表示域和IP地址块
自动化和编制
为了腾出时间来解决更复杂的问题,自动化是关键。在任何可能的情况下,建议采用一系列手工任务并将它们转化为安全自动化编排响应(SOAR)剧本。
这里有一个例子,摘自蒂姆·海明的博客,利用SOAR简化对手基础设施搜索:
- 聚合所有具有可用域名的日志源(稍后详细介绍)
- 规范化日志并提取域名(在SLD级别,例如“example.com”)
- 将这些写入一个文件
- 查找所有域名Alexa前几百万
- 丢弃前百万的域名
- 将剩余的域写入“候选域”文件
这会给你一个不属于互联网上最常见的域名列表。总的来说,它将在大多数年轻的域名中进行选择,因为年轻的域名不太可能比老的域名进入前100万。同样,它将倾向于选择风险较高的域名,因为恶意域名往往在达到前100万之前就被标记并列入屏蔽列表。当然,也有例外,但这是许多soc喜欢使用的第一阶段过滤器。为了将SOAR放在上下文中,下面的图表说明了从端点到进一步操作的日志工作流。
下一个步骤
确定需要进一步调查的DNS数据是开始。用DNS数据和许多其他类型的数据丰富你的端点的指标(理想情况下是通过自动化过程),可以帮助回答“这么糟糕吗”的问题,并用于曝光更大的活动。
结论
上面列出的DNS中有趣的信号远非详尽无遗。我希望它们对你们在调查过程中迅速作出决定有所帮助。让自己成为DNS的权威(双关语)有它的好处。虽然DNS不是作为安全取证工具构建的,但它包含很多细节,您可以利用这些细节更全面地描绘攻击者的意图,评估相对风险,并采取行动。别忘了记住你的训练,参考大卫·比安科的训练金字塔的痛苦.人们很容易忽视金字塔的底部,但我鼓励你在冲向更高的层次之前,从底部部分获得最大的收获。这一切都始于对这些数据集如何存在以及为什么存在的基本理解,并可以通过Joe Slowik将基础设施分析为复合对象的方法快速改进。加入我的下一期博客系列,探索Whois协议。
DNS小抄
| 记录类型 | 观察 | 潜在的迹象 |
|---|---|---|
| IP地址 | 域名关联的IP地址频繁变化 | 快速通 |
| 在具有一致命名的单个IP地址上托管的域数量较少 | 能否给出一个高可信度,即基础设施是由单个参与者控制的 | |
| 命名服务器 | Cryptocurrency-themed主机 | 可疑的基础设施 |
| 具有一致命名指向名称服务器或名称服务器IP的域数量较少 | 基础设施是由个人建立的,因此连接的域和基础设施可以作为有价值的工件 | |
| 域名的NS记录指向一个名称服务器,由那些操作天坑 | Shadowserver和微软做了大量的工作,许多独立的安全研究人员也做了很多工作 | |
| 一个域的单一命名服务器 | 可疑的基础设施 | |
| 托管在多个IP地址上的命名服务器 | 可疑的基础设施 | |
| 名称服务器从默认主机更改为拥有的基础设施 | 可疑的基础设施 | |
| SOA | 与已知错误域名关联的唯一RNAME电子邮件 | 该电子邮件地址可以聚集域,这可能代表恶意活动的基础设施 |
| 短的TTL | 是否表示一个快速流量网络,特别是如果存在其他危险信号 | |
| MX | 同一域上的邮件服务器的MX记录 | 经营设置。在这种情况下,这与邮件服务器验证(如SPF记录)相结合,这可能是一个迹象,表明攻击者试图使他们的邮件看起来合法,以便通过邮件服务器进行网络钓鱼 |
| MX服务器主机信息与主机的IP地址或名称服务器不匹配 | 参与者可以在本地操作自己的电子邮件服务器,从而更容易监控他们的活动和配置他们的行为 | |
| 单个域上有几个或一个MX服务器 | 合法组织不常见的不寻常活动 | |
| MX与其他基础设施主机不匹配(IP/名称服务器) | 有人在运行自己的MX服务器 | |
| MX记录名称中的高熵 | 恶意 | |
| 受害 | 恶意 | |
| TLD | 不常见或廉价的TLD | 威胁行动者在顶级域名中获取廉价的域名,在顶级域名中,真实的恶搞名称有时更容易获得 |