用户指南

DomainTools虹膜调查-第二部分

第二部分:示例(虚构)调查序列

为了说明虹膜调查的概念和组件,我们将逐步通过一个虚构的调查序列,使用假域名和地址。虽然所描述的实体是虚构的,但包括如何推断联系、意图/性质和身份在内的原则,正是每天在实际调查中使用的。

注意:在撰写本文时,这些域名以及“Bob Smith”的电子邮件地址都是虚构的,因此真正的搜索不会显示它们。本节只供通读,不能在线执行。

场景:域“acmegrommets”。“acmegrommets.com”已经被观察到在恶意活动中,似乎是在恶搞合法域名“acmegrommets.com”,然而,关于谁拥有该域名的详细信息很难得到。他们的网站上没有“关于我们”的页面,而且域名是使用隐私服务注册的,这使得使用Whois作为信息来源的努力受挫。也很难知道这是一个一次性的“独狼”风险领域,还是一个更大网络的一部分。在任何情况下,由于域及其控制实体似乎倾向于造成损害,因此快速获取信息以将损害降至最低是很重要的。

目的:作为调查人员的任务是评估该领域所带来的风险,并可能对其采取行动,您希望通过使用虹膜调查来满足以下几个目标:

  • 了解谁拥有/控制acmegrommets.co.如果你不能确定主人的身份,那么下一个最好的办法就是尽可能详细地提供一个个人资料。
  • 公开连接到acmegrommets.co的其他域.这个目标实际上有几个目的:
    1. 这可能有助于揭露一个更大的犯罪网络(如果存在的话)
    2. 如果存在一个连接域的网络,查看它们可能会深入了解操作的性质(它关注的是grommets本身吗?它是否模仿了合法的机构?它是否涉足其他行业,比如肩带或饰条?)
    3. 一个或多个相关域的所有权信息在原始目标域acmegrommets.co上是不明确的。
  • 记录连接acmegrommets之间。Co及其所有者、相关域、基础设施以及任何其他可能满足您需求的数据。


概述

创建调查

因为你的目标是尽可能多地了解acmetmets。Co,你点击"新的调查登录“虹膜调查”后。你可以命名调查,如果你愿意,可以提供描述。

最初的搜索

你的调查开始于进入acmegrommets。Co在搜索框里(请再次注意,这不是一个真实的域名,所以在Iris Investigate中输入这个域名实际上不会返回结果)。这样做之后,你会注意到一些事情:

  • 因为您输入的是一个有效的域名,并且该域名存在,Iris Investigate返回包含信息的记录DomainTools有acmegrommets.co。
  • 域是在一家流行的隐私服务公司注册了,所以在当前的Whois记录中没有有用的联系方式。
  • 通过查看域配置文件数据面板,您可以观察到这一点另外10个域托管在同一个IP上地址为acmegrommets.co。
  • 几千个其他域名由与acmegrommets.co相同的服务器提供服务。

有了这些信息,继续调查的最好方法就是“pivot”表示IP地址看看其他10个域是什么。这是一条很好的途径,因为:

  • Whois隐私可以防止识别,也可以防止将该域(通过注册人联系信息)连接到其他域
  • 名称服务器对于将域名链接到其他域名没有用处,因为它们所服务的域名太多了
  • IP拥有相当少的域。这意味着可以很容易地查看这些域,并且可以建议它们之间的链接。(共享主机本身并不能保证域名是相关的。但是有了其他确凿的证据,它可以支持这样的推断,特别是当IP上的域名数量相对较低时)。

要查看IP地址上的其他域,请右键单击IP地址,会弹出一个操作菜单。从操作菜单中选择“扩大搜索来完成一个枢轴。

注意:虽然在本例中,我们在域配置文件中找到了此信息,但由于涉及的域数量较少,此IP地址也将被突出显示为Guided Pivot。您本可以打开Pivot预览以查看域及其域风险分数的列表。

虹膜调查现在显示所有托管在该IP地址上的域。在这些域中,您可以看到以下内容:

  • amalgamatedgromet.com
  • nationalgrommetts.com
  • superag1et.info
  • federa1c1evis.com
  • be11crankworld.com
  • 等等……

这个域列表使IP地址看起来非常有趣!这些领域之间有明确的主题联系。这些域名集中在某些制造产品上,拼写错误和数字/字母替换表明,这些域名正被用于网络钓鱼活动,域名所有者希望引诱受害者点击看起来像是进入合法企业的链接。

由于IP地址现在引起了您的注意,请单击IP配置数据面板.在这里,您可以看到有关地址的几个关键信息:它的国家(列支敦士登)、IP范围所有者的名称(“Otto’s Discount Web Hosting”),以及分配给该提供商的所有地址的实际CIDR范围。列支敦士登是一个有趣的国家:虽然在列支敦士登托管网站没有什么错,但对于美国公司来说,在这里托管网站并不一定是最合乎逻辑的(而且这些想象中的grommet/aglet/clevis装备都是美国的)。通过搜索引擎查找托管提供商可能会找到有关它的有趣细节,例如它是否赢得了所谓“防弹”托管商的声誉。

您可以通过在pDNS数据面板中查找相同的IP地址来补充此信息。被动DNS解析数据通常显示当前或曾经托管在IP地址上的其他域。果然,除了你已经找到的11个域名之外,pDNS还显示了另外三个可能相关的域名:

  • Spragc1utches-online。com
  • Charnpionspline。com
  • federaldogclutch(。)有限公司

虹膜调查可以帮助你发现其他可能的联系.在这些域名的情况下,虽然看起来越来越有可能在11个托管的IP地址之间存在联系,但看看它们之间是否有其他联系将是有价值的。您可以使用可视化数据面板找出这样的联系。

在可视化数据面板中,您会注意到以下内容:

  • 11个域名中有6个是在同一天创建
  • 11个(包括6个创建于同一天)中的8个是在同一个注册商注册
  • 所有11个国家都有一个共享电话号码(这很荒谬,因为都是1)。

这些信息现在已经建立了一个强有力的案例,这些领域是相互关联的:

  • 名称和名称方案的主题相似性(即数字替换)
  • 很多都是在同一天创作的
  • 所有人都共用一个(伪造的)电话号码
  • 所有这些都托管在同一个IP地址上

现在是共享主机是非常不可能的巧合.作为调查人员,您开始感到自信,您已经暴露了超出原始领域的一部分犯罪基础设施,并且您还发现了控制实体的意图(针对grommet等消费者)和技术(可能是网络钓鱼)的强烈指标。

然而,你还是不知道谁是真正的罪犯.调查的下一部分将帮助您找到有关域操作人员身份的可能线索。域之间的连接对于这一部分的调查非常重要,因为如果您能够在其中一个域上找到身份信息,那么您就更有可能找到所有域的身份。

11个域名中有8个注册了Whois隐私。在剩下的三辆车中,一辆是由“唐老鸭”注册的,另外两辆是由“达斯雷达”注册的。管理、技术和账单电子邮件地址都是无用的,因为它们要么是隐私服务电子邮件,要么是来自免费电子邮件提供商的伪匿名地址。然而,你确实注意到了一些有趣的事情:虹膜调查显示了第四类电子邮件地址——DNS/SOA记录.在某些情况下,这些地址可以提供识别信息。您很幸运:federa1c1evis.com的DNS/SOA记录似乎对应于一个名字显然不是虚构的人(让我们称他为“Bob Smith”)。

电子邮件地址(电子邮件保护)只出现在共享IP的11个域中的一个。但是,您还有其他选择来寻找连接。

从最初的目标域acmegrommets开始。Co,你现在点击Whois历史数据面板.当前的Whois记录,默认显示,显示隐私保护的身份。但是,您可以查看以前记录的时间轴,以查看之前是否记录了其他电子邮件地址。一种方便的方法是使用下一个以前的按钮。在本例中,从当前向后工作,单击以前的,搜寻不同的电邮地址。

好消息:在三年前的一份记录中,你发现(电子邮件保护)现在,尽管您知道“Bob”曾经拥有该域名,但您知道当时该域名是否是恶意的吗?如果"鲍勃"把它卖给了真正的坏人呢?

建立所有权连续性的一个好方法是比较历史截图。点击截图历史数据面板和导航回到过去(使用以前的按钮)的前后bob。史密斯的邮箱地址改成了隐私邮箱。在本例中,屏幕截图没有改变。这给了你一个非常强烈的迹象,当域名进入私人注册时,它实际上并没有转手,而且它可能是恶意的,至少可以追溯到三年前。

你可以对11个域中的其他域重复这个练习。即使你找不到(电子邮件保护)在其他域名的历史记录中,您已经在这些域名之间建立了足够强的联系,因此可能值得对“Bob”进行更深入的挖掘,因为您有强有力的间接证据表明此人负责恶意活动。

如果愿意,还可以扩展当前记录的搜索:在federa1c1evis.com的DNS/SOA记录上,单击右键(电子邮件保护),会弹出一个操作菜单,然后单击扩大搜索这个枢轴显示了使用该名称注册的另外五个域名,包括ace1ugnut.com和acmegromets.com(注意“grommet”的拼写错误)。这些其他域名遵循主题逻辑,由于电子邮件地址是唯一的,尽管它们与原来的11个地址不在同一个IP地址上,但连接的可能性很大。“Bob Smith”这个名字——或者任何真实的名字——可能不是唯一的,但只有一个个人或组织可以拥有一个给定的电子邮件地址。所以(电子邮件保护)可能对应于一个特定的实体。

即使您没有对“Bob”采取反攻行动,您也可以采取主动的防御措施:您可以访问research.domaintools.com并设置注册人警报(电子邮件保护)现在,DomainTools将向您发送电子邮件,任何时候一个新的域名注册与该地址。

让我们用虹膜调查来回顾一下你的调查:

  • 首先查找感兴趣的域acmegrommets.co
  • 将此域扩展到11个通过“旋转”主机IP地址
  • 你观察到强有力的主题链接在这些域名中
  • 你观察到时间相关在它们的创建日期中
  • 你找到了一个可能识别电子邮件地址(顺便说一句,在现实世界的调查中,也经常会发现合法的电话号码和物理地址)
  • 发现了5个新的领域,也分享了专题链接,链接到这个地址
  • 历史数据面板记录在建立这些链接时运行的查询
  • 底线:你现在看到的不是一只“独狼”,而是一只16个域的强连接基础设施,一个许多人的电子邮件地址,以及人类的名字这可能值得进一步调查

虽然出于说明的目的,我们稍微简化了这个过程,但许多真实世界的调查都非常类似。这是唯一可能的DomainTools数据库的深度和广度,只有这容易与虹膜调查。我们希望这个插图对您探索DomainTools虹膜调查有用。