关于DomainTools虹膜调查
为了您的方便,我们在下面附上了视频转录
大家好,感谢您的收看。欢迎浏览我们的DomainTools Iris平台概述。在DomainTools这里,近二十年来,我们一直在用我们的域名所有权、DNS可观察性和web抓取数据为调查提供动力。在这个视频中,我们将快速浏览一下我们的虹膜调查平台。Iris汇集了我们收集到的大量数据集,并允许我们轻松地发现其他相关的恶意基础设施和域活动。有了Iris多功能框,我们可以使用我们的IP地址、电子邮件地址、SSL证书、谷歌Analytics代码等开始调查。
类似的领域
在本例中,我们将从一个域sagawa-app[.[com]开始。这是一个类似的领域,目标客户是日本一家大型航运和物流公司佐川。乐动体育官网下载在Pivot Engine中,我们可以得到一个表格视图,显示我们希望收集的任何数据集的最新数据。所有权信息、注册商和创建日期数据、托管基础设施数据、我们的web抓取数据,包括谷歌分析代码和Adsense跟踪器、邮件服务器信息、重定向和可用的SSL证书。目前的联系信息,我们有这个域名是修订。但我们可以使用我们的历史Whois选项卡回到过去,看看这个域最初注册时的数据是什么样子的。
这里我们可以看到注册人的名字,地址和电话号码,我们解析出yahoo.co[。jp电子邮件地址,我们可以右键单击该电子邮件地址,在我们的数据集中找到与它相关联的任何其他域。这个放大镜允许我们在将这些域引入Pivot Engine之前查看它们,然后我们可以确定它们是否与我们的调查相关。我们在这里看到的65个恶意域名不仅针对佐川,还针对雅虎日本、软银、Digi-Docomo、乐天、苹果等。这里一个简单的扩展选择将把剩下的这些域带入我们的Pivot Engine,这样我们就可以更好地了解我们的威胁参与者在做什么。
历史截图
虹膜的另一个有用的功能,是能够查看我们的域的历史截图。在这种情况下,佐川应用程序域显示自己是一个精心制作的外观相似,窃取了真正的商标和布局。然而,我们可以看到,我们的建议为任何不幸的访问者留下了一步一步的指南,指导他们覆盖他们的Android设备上的安全设置,然后从droppper域Sagawa.oicp[.]io获取恶意应用程序。使用我们的高级搜索界面,我将手动添加oicp[。io到Pivot引擎。在这个界面中,您可以同时删除多达1000个域,或者基于Pivot Engine数据集创建更复杂的查询。创建日期,风险评分,SSL证书等都可以发挥,可以极大地帮助威胁搜索。
引导轴心
现在我们可以看看oicp[.]io。在这里,我们可以看到主机IP被高亮显示,这是一个我们称为引导枢轴的功能。这一功能允许我们突出潜在的支点,可能对调查人员有用。在本例中,它将引导我们到一个仅承载26个域的IP地址。我们可以使用预览枢轴窗格来查看这些,并看到我们的演员不仅主持一个oicp[。io,但也有其他几个该名称的变体。请注意,根据我们的风险评分,其中4个是100分。这意味着我们在已知恶意域名的第三方列表中观察到了这些。但下面这些99的还没有进入任何传统的情报系统。我们的预测机器学习分类器将这些作为恶意软件域,所以您将希望扩展并将这些带到Pivot引擎,并导出整个东西以阻止和搜索。Iris还包括一个数据可视化工具。 Here we can view the domains from our Pivot Engine and layer on any data points that we collect. In this case, we are looking at the hosting IP addresses and SSL certificates that are associated with our malicious domains. We can easily hone in on the dedicated infrastructure used by our advisories and expand our hunting and pivoting from there. Our Passive DNS partner data gives us a better look at the activity timeline for our dropper domain Sagawa.oicp[.]io. These in the wild lookups andresolutions, show us its current activity. We can use this data to hunt for additional malicious IPs, subdomains, SOA records, text records, and more.
我希望这个演示能让您更好地理解我们的数据集是如何在Iris平台中显示的,以及一些使域和DNS调查更加直观和全面的想法。谢谢你的宝贵时间。
