关于DomainTools
为了方便大家阅读,我们在下面附上了视频
大家好,感谢您的加入。欢迎来到我们的DomainTools Iris平台概述。在DomainTools,近二十年来,我们一直在为我们的域名所有权、DNS可观察数据和网络抓取数据提供调查支持。在这个视频中,我们将快速浏览我们的虹膜调查平台。Iris汇集了我们收集的大量数据集,使我们能够轻松地发现其他相关的恶意基础设施和域活动。使用虹膜万能箱,我们可以开始调查我们的IP地址,电子邮件地址,SSL证书,谷歌分析代码等。
类似的领域
在本例中,我们将从一个域sagawa-app[.[com]开始。这是一个相似的领域,目标是一家大型日本航运和物流公司Sagawa的客户。乐动体育官网下载在Pivot Engine中,我们获得了为我们希望收集的任何数据集提取的最新数据的表格视图。所有权信息,注册商和创建日期数据,托管基础设施数据,我们的网络抓取数据,包括谷歌分析代码和Adsense跟踪器,邮件服务器信息,重定向和SSL证书(如果可用)。当前的联系信息,我们有这个领域是编校。但是我们可以使用我们的历史Whois选项卡回到过去,看看这个域名最初注册时的数据是什么样子的。
在这里,我们可以看到注册人的名称,地址和电话号码,我们解析出yahoo.co[。]jp电子邮件地址,我们可以右键单击该电子邮件地址,以查找数据集中与之关联的任何其他域。这个放大镜允许我们在将这些域带入Pivot Engine之前查看它们,然后我们可以确定它们是否与我们的调查相关。我们在这里看到的65个恶意域名不仅针对佐川,还针对雅虎日本,软银和Digi-Docomo,乐天,苹果等。这里一个简单的展开选择将把其余这些域带入我们的Pivot引擎,这样我们就可以更好地了解我们的威胁参与者在做什么。
历史截图
Iris的另一个有用的功能是查看域名的历史截图。在这种情况下,Sagawa应用程序域显示自己是一个精心设计的模仿者,窃取了真实交易的标志和布局。然而,我们可以看到,我们的建议已经为任何不幸的访问者留下了一步一步的指南,指导他们覆盖他们的Android设备上的安全设置,然后从dropper域Sagawa.oicp[.]io获取恶意应用程序。使用我们的高级搜索界面,我将手动添加oicp[。io到枢轴发动机。在这个界面中,您可以同时删除多达1,000个域,或者基于Pivot Engine数据集创建更复杂的查询。创建日期,风险评分,SSL证书等都可以播放,可以极大地帮助威胁搜索。
引导轴心
现在我们可以看看oicp[.]io。在这里,我们可以看到主机IP被高亮显示,我们称之为引导枢轴。这一功能使我们能够突出可能对调查人员有用的潜在支点。在本例中,它将我们引向一个仅承载26个域的IP地址。我们可以使用预览Pivot窗格来查看这些,并看到我们的actor不仅托管一个oicp[。io,但也有其他几个变体的名称。请注意,根据我们的风险评分,其中4个得分为100分。这意味着我们已经在已知恶意域名的第三方列表中观察到这些。但下面的这些99还没有进入任何传统的情报系统。我们的预测机器学习分类器将这些作为恶意软件域,所以你会想要扩展并将这些带到Pivot引擎,并导出整个内容以进行拦截和搜索。Iris还包括一个数据可视化工具。 Here we can view the domains from our Pivot Engine and layer on any data points that we collect. In this case, we are looking at the hosting IP addresses and SSL certificates that are associated with our malicious domains. We can easily hone in on the dedicated infrastructure used by our advisories and expand our hunting and pivoting from there. Our Passive DNS partner data gives us a better look at the activity timeline for our dropper domain Sagawa.oicp[.]io. These in the wild lookups andresolutions, show us its current activity. We can use this data to hunt for additional malicious IPs, subdomains, SOA records, text records, and more.
我希望这个演示能让您更好地理解我们的数据集是如何在Iris平台中呈现的,以及使域和DNS调查更加直观和全面的一些想法。谢谢你的宝贵时间。
