当我们推出新的主页去年,很多人问我“Whois的数据和网络安全有什么关系?”事实证明,有很多。我当时的回答和现在的一样:域名查询服务数据帮助您了解谁是非法域名和ip的幕后黑手,并帮助您将域名和ip彼此连接,并连接到它们的所有者。
如果你关注网络安全新闻,可以看看曼迪昂特/火眼暴露本周,一个伊朗黑客组织的攻击引起了广泛关注。安全方面的重量级人物提供了更多的见解Crowdstrike.似乎有很厉害的威胁情报人员已经跟踪这个组织好几个月了。然而,同样明显的是,两个团队在他们的研究中广泛使用了Whois的数据。例如,Crowdstrike的博客文章中嵌入了DomainTools新设计的Whois History产品的截图。ajaxtm gmail地址。与此同时,FireEye报告有大量的细节,包括Maltego转换,它有助于可视化Whois和DNS数据之间的关系。这基本上就是Reverse产品的DomainTools套件所做的:将参与者和互联网资源彼此连接起来。
下面是两种可视化DomainTools数据的方法。第一个是基于web的Reverse Whois IRM产品的标准输出,用于搜索浮出水面的电子邮件地址。注意这个群体瞄准的品牌。将我们的数据放到Maltego中,更容易注意到FireEye和Crowdstrike都没有提及的域名:dddddddddd445624。com.这个域只在2010年短暂存在于DNS中。DomainTools捕获了一个Whois记录,这是可在我们的Whois历史工具。
在安全方面,你要么有数据,要么没有。DomainTools比任何其他Whois提供商知道更多的DNS域,我们有更长的记录历史,我们比任何人都更频繁地捕获更多的记录。这就是为什么我们是全球威胁情报机构特别有用的合作伙伴。我认为,对我们的数据集进行全面搜索,会比对恶意软件攻击本身进行具体的法医调查,找到更多的线索。我们还可以帮助告知这些努力的结果,这在FireEye的报告中有详细说明。
下面是一个循序渐进的例子
- 先从钓鱼网页开始:aeroconf2014。org
- 从Whois获取电子邮件地址:信息在美国。gov。我们
- 将电子邮件反转为当前和历史域名列表
- 使用Whois历史在这些域表面一个新的和有趣的电子邮件:keyvan(。gmail [] ajaxtm()。] com
- 将这封新邮件反转为当前和历史域名列表
- 做一个Whois查找短命域:dddddddddd445624。com
- 把登记人的名字从记录里调出来,阿里·阿拉维
- 将此注册名称反转为当前和历史域名列表
- 调查一些相关的领域,例如:youthpartyofiran。com
- 深入Whois在这个域的历史,并拿出一个新的相关的电子邮件:ali_alavi97 (at)雅虎。com
- 等等。
看看这条线索里有多少潜在的调查线索。如果你花时间用强大的工具查询Whois和DNS数据,还有更多。
互联网活动以域名和IP地址的形式留下了证据。像电子邮件地址和网站这样的信号都返回到主机名、域名和ip。借用OpenDNS的Dan Hubbard的一句话,这些“威胁碎屑”是威胁调查和最终预防的基础。为什么不利用世界上最好的域名和IP数据呢?
今年晚些时候,DomainTools将发布一个非常强大的新工具,把我们所有的数据集,完全解析,到一个统一的可搜索数据库。它将使所有这些研究闪电般快速,加上适当的可用性功能,如排序、过滤和保存搜索。如果您是DomainTools的客户,并希望参与该产品的beta试验,请通过以下方式联系我们(电子邮件保护).
