過期域名在攻擊活動中的利用
概述
註冊域名所選擇的名稱對於網路釣魚場景,滲透測試,特別是在紅軍發動攻擊的過程中是非常重要的一個方面。在基於域名信譽和分類的網路環境中,面臨Web過濾已經變得越來越普遍。通常情況下,發送到非常新的或未分類的域名的流量會被這樣的過濾設備完全阻止 —— 在其攻擊軌道中阻斷網路釣魚的有效載荷或C2代理的連接。
最近在安全社區中有很多關於處理這個過濾問題的一些討論如:Domain Fronting和High Trust重定向,但這些技術會增加額外的配置和複雜性,這可能對每次攻擊互動都是不必要的。具體信息請參閱 MDSec的博文「Domain Fronting via Cloudfront Alternate Domains」 和Raphael Mudge的博客以便進一步了解這些技術。
曾被用於良性目的且已被分類的域名通常有一些會過期或被刪除,但是可以再次購買,並且只需花費幾美元即可。這樣的域名可以使紅軍團隊能夠繞過基於信譽檢查的Web過濾器和網路出口限制,以便用於網路釣魚和C2控制相關的任務。
打開ExpiredDomains.net(過期域名搜索引擎),這是一個極好的網站資源,為攻擊者和紅軍團隊提供了一個可以快速找到可用的過期域名的「快餐菜單」,當他們不想要或有充足的時間來開發一個域名目錄,維護Web網路伺服器,並創建「合法的內容「以便進行正確分類時,這個網站的確可以快速提供他們想要的一切。最好確保在一段時間內就保持一些可用的過期域名,即使你可能不想在一到兩個星期內就使用這些過期域名來快速發起攻擊活動。
為了實現本文所講述的目的,為此,我們在2016年9月開始使用DomainHunter來實現域名處理,這是一個小的腳本工具,可以利用Expireddomains.net的過期域名列表,並將其與已知域名的信譽查詢來源進行交叉整合,生成可用於攻擊活動的潛在的域名名單。Mr-Un1k0d3r創建了 CatMyFish 工具,此工具也利用了Expireddomains.net過期域名列表,源碼值得一看。DomainHunter可以快速查詢Expireddomains.net過期域名搜索引擎中的已過期或已刪除的域名,並自動刪除任何已經由Malwaredomains.com披露過的不可信域名。然後,將篩選出的域名根據Blue Coat WebPulse Site Review等服務查詢這些域名的信譽。
注意:大多數域名信譽查詢服務平台(如Blue Coat)都使用了CAPTCHA保護措施,必須通過減慢腳本請求來避免這種情況,因此如果要運行大量的查詢集合,我們建議可以使用計劃任務或 cron計劃作業執行查詢並定期通過郵件向你發送新的處理結果。此外,在對Blue Coat發出約150次請求之後,即使在DomainHunter中設置了緩慢的請求時間,你同樣也會收到驗證碼進行驗證。
GitHub:https%20://github.com/minisllc/domainhunter
如果你發現了有用的工具或對該工具有任何建議和改進,可以通過Twitter聯繫我們!
「銀行類的過期域名」 HTML報表輸出示例
DomainHunter功能
檢索指定數量的最近過期和已刪除的域名(.com,.net,.org主要)
基於關鍵字搜索可用的域名
可以利用Blue Coat Site Review服務執行域名信譽檢查
按域名已註冊年限對結果進行排序(如果可以知道域名已註冊年限的話)
生成基於文本的表格和HTML格式的輸出報告,其中包含信譽來源和相關的Archive.org條目的鏈接
用法
安裝所有必需的Python庫
cd ./domainhunter/ && pip install -r requirements.txt
列出可用的執行選項
python ./domainhunter.py -husage: domainhunter.py [-h] [-q QUERY] [-c] [-r MAXRESULTS] [-w MAXWIDTH]Checks expired domains, bluecoat categorization, and Archive.org history todetermine good candidates for C2 and phishing domainsoptional arguments:-h, --help show this help message and exit-q QUERY, --query QUERYOptional keyword used to refine search results-c, --check Perform slow reputation checks-r MAXRESULTS, --maxresults MAXRESULTSNumber of results to return when querying latestexpired/deleted domains (min. 100)-w MAXWIDTH, --maxwidth MAXWIDTHWidth of text table
使用域名信譽檢查執行基本查詢
python ./domainhunter.py -q dogs -c
域名信譽檢查控制台輸出示例
其他資源
MDSec – Domain Fronting via Cloudfront Alternate Domains
High-reputation Redirectors and Domain Fronting
https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki
https://github.com/Mr-Un1k0d3r/CatMyFish
https://www.sans.org/course/red-team-operations-and-threat-emulation
※後流量時代如何虎口護食?羊毛黨的偵測與防護
※Windows Shellcode學習筆記——利用VirtualAlloc繞過DEP
※零日漏洞DoubleAgent的代碼注入和持久性攻擊技術分析
※逐行分析PowerShell 惡意代碼
※揭秘6種最有效的社會工程學攻擊手段及防禦之策
TAG:嘶吼RoarTalk |
※聯動活動:最大效率刷皮膚攻略
※設施先進,卻是日人專用:日本侵佔時期大連的體育活動和場館
※金在中退伍時間確定,回歸活動啟動中!
※戰艦少女R戰利品活動來襲 這次要大力撈啦
※FGO速狩獵活動配置打法推薦 狩獵活動最佳陣容攻略
※魅力中國活動在大阪舉行
※悟與行的設計之旅,精彩活動全搜羅,錯過再等一年!
※美軍艦隊周紀念活動多,有跳傘,有跳機,有操槍,很炫目,還實用
※噹噹 滿減活動 瘋狂進行中
※避免在正午炎熱時段帶寶寶在戶外進行大運動量活動
※生活中的那些活動可以有效降血壓?
※氣球除了在節目活動中使用,剪開還能處理鉛筆廢料
※軍營里不僅僅只有嚴酷的訓練,還有定期的聯誼活動
※日本社團活動中的死者數排行榜曝光 竟有人因玩麻將死亡
※很少公開活動的俄軍精銳特種部隊玩起了游擊戰
※客廳作為家人活動的主要場所,其風水絕對是重中之重
※昨日中獎名單+新一期活動
※紐約「艦隊周」活動開幕 兩棲攻擊艦前來助威
※巡洋艦是一種火力強、用途多,主要在遠洋活動的大型艦艇