過期網域名稱在攻擊活動中的利用

2021-09-23 03:28:49 字數 2379 閱讀 1172

本文講的是過期網域名稱在攻擊活動中的利用

概述

註冊網域名稱所選擇的名稱對於網路釣魚場景,滲透測試,特別是在紅軍發動攻擊的過程中是非常重要的乙個方面。在基於網域名稱信譽和分類的網路環境中,面臨web過濾已經變得越來越普遍。通常情況下,傳送到非常新的或未分類的網域名稱的流量會被這樣的過濾裝置完全阻止 —— 在其攻擊軌道中阻斷網路釣魚的有效載荷或c2**的連線。最近在安全社群中有很多關於處理這個過濾問題的一些討論如:domain fronting和high trust重定向,但這些技術會增加額外的配置和複雜性,這可能對每次攻擊互動都是不必要的。具體資訊請參閱 mdsec的博文「domain fronting via cloudfront alternate domains」 和raphael mudge的部落格以便進一步了解這些技術。

曾被用於良性目的且已被分類的網域名稱通常有一些會過期或被刪除,但是可以再次購買,並且只需花費幾美元即可。這樣的網域名稱可以使紅軍團隊能夠繞過基於信譽檢查的web過濾器和網路出口限制,以便用於網路釣魚和c2控制相關的任務。開啟expireddomains.net(過期網域名稱搜尋引擎),這是乙個極好的**資源,為攻擊者和紅軍團隊提供了乙個可以快速找到可用的過期網域名稱的「快餐選單」,當他們不想要或有充足的時間來開發乙個網域名稱目錄,維護web網路伺服器,並建立「合法的內容「以便進行正確分類時,這個**的確可以快速提供他們想要的一切。最好確保在一段時間內就保持一些可用的過期網域名稱,即使你可能不想在一到兩個星期內就使用這些過期網域名稱來快速發起攻擊活動。

為了實現本文所講述的目的,為此,我們在2023年9月開始使用domainhunter來實現網域名稱處理,這是乙個小的指令碼工具,可以利用expireddomains.net的過期網域名稱列表,並將其與已知網域名稱的信譽查詢**進行交叉整合,生成可用於攻擊活動的潛在的網域名稱名單。mr-un1k0d3r建立了 catmyfish 工具,此工具也利用了expireddomains.net過期網域名稱列表,原始碼值得一看。domainhunter可以快速查詢expireddomains.net過期網域名稱搜尋引擎中的已過期或已刪除的網域名稱,並自動刪除任何已經由malwaredomains.com披露過的不可信網域名稱。然後,將篩選出的網域名稱根據blue coat webpulse site review等服務查詢這些網域名稱的信譽。

注意:大多數網域名稱信譽查詢服務平台(如blue coat)都使用了captcha保護措施,必須通過減慢指令碼請求來避免這種情況,因此如果要執行大量的查詢集合,我們建議可以使用計畫任務或 cron計畫作業執行查詢並定期通過郵件向你傳送新的處理結果。此外,在對blue coat發出約150次請求之後,即使在domainhunter中設定了緩慢的請求時間,你同樣也會收到驗證碼進行驗證。

「銀行類的過期網域名稱」 html報表輸出示例

domainhunter功能

用法

安裝所有必需的python庫

cd ./domainhunter/ && pip install -r requirements.txt
列出可用的執行選項

python ./domainhunter.py -h


usage: domainhunter.py [-h] [-q query] [-c] [-r maxresults] [-w maxwidth]


checks expired domains, bluecoat categorization, and archive.org history to


determine good candidates for c2 and phishing domains


optional arguments:


-h, --help show this help message and exit


-q query, --query query


optional keyword used to refine search results


-c, --check perform slow reputation checks


-r maxresults, --maxresults maxresults


number of results to return when querying latest


expired/deleted domains (min. 100)


-w maxwidth, --maxwidth maxwidth


width of text table
使用網域名稱信譽檢查執行基本查詢

python ./domainhunter.py -q dogs -c
網域名稱信譽檢查控制台輸出示例

原文發布時間為:2023年4月3日

DNS在活動目錄中的重要性

我們都知道dns對於活動目錄來講是非常重要的,要想部署活動目錄,就必須搭建dns伺服器,通常的做法是在搭建第一台dc的時候自動安裝dns,之所以都這麼做是因為它簡單 方便,但也有缺點。也許你遇到過這樣的問題,比如機房停電,所有伺服器都必須關機,來電後需要啟動所有的伺服器,這時如果你先啟動額外域控制器...

第一講 Excel在測試活動中的應用

如果你對excel有一定了解的話並且有去仔細研究的話,你一定會被它隱藏的強大的功能所吸引,其實涉及到很多財務及複雜的計算的時候,使用excel不失為乙個很好的選擇,特別是數量量還達不到一定要使用資料庫的時候,excel的確有不可替代的作用,當然最具魅力的地方還是在於它的計算功能,豐富的函式。今天我們...

在Adobe AIR中降低CPU的利用率

由於air是在執行時資源膨脹,占用了很多的寶貴的記憶體和cpu,導致air的執行速度很差。雖然很多的air應用看起來都陷入這樣的圈套,但是它也可以不要這樣。你可以通過很多種的技術開發乙個輕量級的應用程式以對抗傳統的程式執行。幀頻控制是乙個減少cpu使用的簡單的方法。在此文中,我講解釋什麼是幀頻控制和...