为了说明虹膜调查的概念和组件,我们将逐步通过一个虚构的调查序列,使用假的域名和地址。虽然描述的实体是虚构的,但其中的原则,包括如何推断关联、意图/性质和身份,都是每天在真实调查中使用的。
注意:在撰写本文时,这些域以及“Bob Smith”的电子邮件地址都是虚构的,因此真实的搜索不会显示它们。本节建议您通读,而不是在线执行。
场景:acmegrommets域”。“acmegrommets.com”被发现有恶意活动,似乎是在欺骗合法域名“acmegrommets.com”。然而,很难获得该域名所有者的详细信息。他们的网站上没有“关于我们”的页面,该域名是使用隐私服务注册的,这阻碍了使用Whois作为信息来源的努力。也很难知道这是一个一次性的“独狼”风险领域,还是一个更大网络的一部分。在任何情况下,由于该领域及其控制实体似乎有意造成伤害,为了将伤害降到最低,迅速获取信息是很重要的。
目的:作为研究人员,您的任务是评估由该领域构成的风险,并对其采取潜在的行动,您希望通过使用虹膜调查达到以下几个目标:
因为你的目标是尽可能多地了解acmegmets。Co,你点击"新的调查登录“虹膜调查”后。你可以说出调查的名称,如果你愿意,还可以提供描述。
你的调查开始于进入acmegrommets。在搜索框中搜索(请再次注意,这不是一个真正的域,因此输入这个到Iris Investigate不会实际返回结果)。这样做之后,你会注意到几件事:
有了这些信息,继续调查的一个好方法是“pivot”在IP地址上看看其他10个域是什么。这是一条很好的路径,因为:
要查看IP地址上的其他域,请右键单击IP地址,会弹出一个操作菜单。在操作菜单中,选择“扩大搜索来完成一个转向。
注意:虽然在这个例子中,我们在域配置文件中找到了这个信息,但由于涉及的域数量较少,这个IP地址也会被高亮显示为引导枢轴。您可以打开Pivot Preview以查看域的列表及其域风险评分。
虹膜调查现在显示所有托管在该IP地址的域。在这些域中,您可以看到以下内容:
这个域列表使IP地址看起来非常有趣!这些领域之间有明显的主题联系。这些域名显示出对某些制造产品的关注,拼写错误和数字/字母替换表明,这些域名正被用于网络钓鱼活动,域名所有者希望诱骗受害者点击看似属于合法企业的链接。
因为IP地址现在引起了您的注意,所以您可以单击IP配置文件数据面板.在这里,您可以看到关于地址的几个关键信息:它的国家(列支敦士登)、IP范围所有者的名称(“Otto’s Discount Web Hosting”),以及分配给该提供者的所有地址的实际CIDR范围。这个国家很有趣:虽然在列支敦士登托管网站并没有什么错,但对于美国公司来说,在这里托管网站并不一定是最合乎逻辑的地方(而且这些想象中的grommet/aglet/clevis装备都是美国的)。搜索引擎查找托管提供商可能会发现有关它的有趣细节,例如它是否获得了所谓“防弹”托管的声誉。
您可以通过在pDNS数据面板中查找相同的IP地址来补充此信息。被动DNS解析数据通常显示当前或曾经驻留在IP地址上的其他域。果然,除了你已经找到的11个域之外,pDNS还显示了另外三个可能相关的域:
虹膜调查帮助你发现其他可能的联系.在这些域名的情况下,虽然越来越有可能在这个IP地址上托管的11个域名之间存在链接,但看看它们之间是否存在其他连接是有价值的。您可以使用可视化数据面板发现这样的联系。
在可视化数据面板中,您会注意到以下内容:
这些信息有力地证明了这些领域是相互关联的:
现在共享主机极不可能是巧合.作为调查人员,您开始感到自信,您已经暴露了犯罪基础设施的一部分,超出了原来的领域,您还发现了控制实体的意图(针对零售商等消费者)和技术(可能是网络钓鱼)的强烈指标。
然而,你还是不知道真正的罪犯是谁.调查的下一部分将帮助您找到有关域操作员身份的可能线索。域之间的连接对于这部分的调查非常重要,因为如果您能够在其中一个域上找到身份信息,那么您就很有可能找到所有域的身份。
11个域名中有8个是在Whois的隐私保护下注册的。剩下的三件中,一件是由“唐老鸭”注册的,另外两件是由“达斯雷达”注册的。管理、技术和计费电子邮件地址都是无用的,因为它们要么是隐私服务电子邮件地址,要么是来自免费电子邮件提供商的伪匿名地址。然而,你会注意到一些有趣的事情:虹膜调查显示的第四种电子邮件地址——DNS/SOA记录.在某些情况下,这些地址可以提供识别信息。您很幸运:federa1c1evis.com的DNS/SOA记录似乎与一个名字不是明显虚构的人相对应(让我们称他为“Bob Smith”)。
电子邮件地址bob.smith@foobarmail.com只出现在共享IP上的11个域中的一个。但是,您还有其他方法来寻找连接。
从你最初的目标域开始,acmegrommets。Co,你现在点击Whois历史数据面板.当前Whois记录,默认显示,显示隐私保护的身份。但是,您可以查看以前记录的时间轴,以查看是否有其他电子邮件地址在更早的时候被记录。一种方便的方法是使用下一个或以前的按钮。在本例中,从现在往回看,单击以前的,扫描不同的电子邮件地址。
好消息:在三年前的记录中,你可以找到bob.smith@foobarmail.com。现在,虽然你知道“Bob”曾经拥有这个域名,但你知道那个域名当时是否是恶意的吗?如果"鲍勃"把它卖给了真正的坏人呢?
建立所有权连续性的一个好方法是比较历史截图。你点击截屏历史数据面板并及时导航回去(使用以前的按钮)之前和之后的鲍勃。史密斯的邮箱地址改成了隐私邮箱。在本例中,截图没有改变。这给了你一个非常强烈的暗示,当域名进入私人注册时,它实际上并没有转手,而且它很可能是恶意的,至少可以追溯到三年前。
您可以对列表中的11个域重复此操作。即使您没有在其他域名的历史记录中找到bob.smith@foobarmail.com,您已经在这些域名之间建立了足够强的链接,因此可能值得对“Bob”进行更深入的研究,因为您有强有力的间接证据表明此人负责恶意活动。
如果愿意,还可以展开对当前记录的搜索:在federa1c1evis.com的DNS/SOA记录上,右键单击bob.smith@foobarmail.com,弹出操作菜单,然后单击扩大搜索.这个枢轴显示了用该名称注册的另外5个域包括ace1uggnut.com和acmegromets.com(注意“grommet”的拼写错误)。这些其他域名遵循主题逻辑,由于电子邮件地址是唯一的,即使它们与最初的11个IP地址不在同一个IP地址上,也有很强的连接可能性。“Bob Smith”这个名字——或任何真实的名字——可能不是唯一的,但只有一个个人或组织可以拥有一个给定的电子邮件地址。因此bob.smith@foobarmail.com很可能对应于一个特定的实体。
即使您没有对“Bob”采取反击行动,您也可以采取积极的防御措施:您可以访问research.domaintools.com并为bob.smith@foobarmail.com设置注册者警报。现在,DomainTools将向您发送电子邮件,任何时候一个新的域名注册与该地址。
让我们用虹膜调查来回顾一下你的调查:
虽然为了便于说明,我们稍微简化了这个过程,但许多现实世界的调查都是这样进行的。这只有在DomainTools数据库的深度和广度下才有可能,而且只有虹膜调查才容易做到这一点。我们希望这个插图对您在DomainTools Iris Investigate的探索中有用。