过期域名在攻击活动中的利用 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

过期域名在攻击活动中的利用

丝绸之路 Web安全 2017年4月3日发布

导语:注册域名所选择的名称对于网络钓鱼场景,渗透测试,特别是在红军发动攻击的过程中是非常重要的一个方面。在基于域名信誉和分类的网络环境中,面临Web过滤已经变得越来越普遍。

概述

注册域名所选择的名称对于网络钓鱼场景,渗透测试,特别是在红军发动攻击的过程中是非常重要的一个方面。在基于域名信誉和分类的网络环境中,面临Web过滤已经变得越来越普遍。通常情况下,发送到非常新的或未分类的域名的流量会被这样的过滤设备完全阻止 —— 在其攻击轨道中阻断网络钓鱼的有效载荷或C2代理的连接。最近在安全社区中有很多关于处理这个过滤问题的一些讨论如:Domain Fronting和High Trust重定向,但这些技术会增加额外的配置和复杂性,这可能对每次攻击互动都是不必要的。具体信息请参阅 MDSec的博文“Domain Fronting via Cloudfront Alternate Domains” 和Raphael Mudge的博客以便进一步了解这些技术。

曾被用于良性目的且已被分类的域名通常有一些会过期或被删除,但是可以再次购买,并且只需花费几美元即可。这样的域名可以使红军团队能够绕过基于信誉检查的Web过滤器和网络出口限制,以便用于网络钓鱼和C2控制相关的任务。打开ExpiredDomains.net(过期域名搜索引擎),这是一个极好的网站资源,为攻击者和红军团队提供了一个可以快速找到可用的过期域名的“快餐菜单”,当他们不想要或有充足的时间来开发一个域名目录,维护Web网络服务器,并创建“合法的内容“以便进行正确分类时,这个网站的确可以快速提供他们想要的一切。最好确保在一段时间内就保持一些可用的过期域名,即使你可能不想在一到两个星期内就使用这些过期域名来快速发起攻击活动。

为了实现本文所讲述的目的,为此,我们在2016年9月开始使用DomainHunter来实现域名处理,这是一个小的脚本工具,可以利用Expireddomains.net的过期域名列表,并将其与已知域名的信誉查询来源进行交叉整合,生成可用于攻击活动的潜在的域名名单。Mr-Un1k0d3r创建了 CatMyFish 工具,此工具也利用了Expireddomains.net过期域名列表,源码值得一看。DomainHunter可以快速查询Expireddomains.net过期域名搜索引擎中的已过期或已删除的域名,并自动删除任何已经由Malwaredomains.com披露过的不可信域名。然后,将筛选出的域名根据Blue Coat WebPulse Site Review等服务查询这些域名的信誉。

注意:大多数域名信誉查询服务平台(如Blue Coat)都使用了CAPTCHA保护措施,必须通过减慢脚本请求来避免这种情况,因此如果要运行大量的查询集合,我们建议可以使用计划任务或 cron计划作业执行查询并定期通过邮件向你发送新的处理结果。此外,在对Blue Coat发出约150次请求之后,即使在DomainHunter中设置了缓慢的请求时间,你同样也会收到验证码进行验证。

GitHub:https%20://github.com/minisllc/domainhunter

如果你发现了有用的工具或对该工具有任何建议和改进,可以通过Twitter联系我们!

1491138513216107.png

“银行类的过期域名” HTML报表输出示例

DomainHunter功能

  • 检索指定数量的最近过期和已删除的域名(.com,.net,.org主要)

  • 基于关键字搜索可用的域名

  • 可以利用Blue Coat Site Review服务执行域名信誉检查

  • 按域名已注册年限对结果进行排序(如果可以知道域名已注册年限的话)

  • 生成基于文本的表格和HTML格式的输出报告,其中包含信誉来源和相关的Archive.org条目的链接

用法

安装所有必需的Python库

cd ./domainhunter/ && pip install -r requirements.txt

列出可用的执行选项

python ./domainhunter.py -h
usage: domainhunter.py [-h] [-q QUERY] [-c] [-r MAXRESULTS] [-w MAXWIDTH]
Checks expired domains, bluecoat categorization, and Archive.org history to
determine good candidates for C2 and phishing domains
optional arguments:
-h, --help show this help message and exit
-q QUERY, --query QUERY
Optional keyword used to refine search results
-c, --check Perform slow reputation checks
-r MAXRESULTS, --maxresults MAXRESULTS
Number of results to return when querying latest
expired/deleted domains (min. 100)
-w MAXWIDTH, --maxwidth MAXWIDTH
Width of text table

使用域名信誉检查执行基本查询

python ./domainhunter.py -q dogs -c

1491138598492691.png

域名信誉检查控制台输出示例

其他资源

MDSec – Domain Fronting via Cloudfront Alternate Domains

High-reputation Redirectors and Domain Fronting

https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki

https://github.com/Mr-Un1k0d3r/CatMyFish

https://www.sans.org/course/red-team-operations-and-threat-emulation

本文参考来源于threatexpress,如若转载,请注明来源于嘶吼: http://www.4hou.com/technology/4096.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论