成为优秀的域名牧羊人

当我们为网络钓鱼活动或者C&C服务器选择域名时，域名的分类和年龄是值得考虑的很重要的因素。关于这个主题的文章，网上已经有很多了，不过关于在购买后如何有效地管理数十个域名并监控他们的状态，网上的并没有进行全面而彻底的探索过。虽然有些工具已经解决了如何选择域名的问题，比如Joe Vest和DomainHunter，但SpecterOps这个团队认为我们需要一个工具来帮助我们管理已经拥有的域名和那些在评估中正在使用的域名。

倾向域群

域名的分类可能会随着时间的推移而改变，而且刚刚购买的新域名也需要时间来老化。追踪数十个域名挺枯燥的。为了全面了解，运营商还需要跟踪WhoisGuard的状态，潜在的VirusTotal检测，被动DNS检测，垃圾邮件黑名单状态和其他数据点。

跟踪这些数据也很没劲。当一个大型团队在分享域名时，随着新域名加入到不断增长的清单中，并且经常被使用，停用或者毁掉，问题也会大大的增加。为了解决这个问题，我跟SpecterOps团队另一名成员合作，提出了下面这些我们想要为每个团队域名进行回答的问题：

· 这个域名使用多长时间了？

· 域名是垃圾邮件黑名单吗？

· 目前在各种Tracker中是什么分类（例如Bluecoat，McAfee，Palo Alto等）？

· 这个域名是否应该毁掉或者不再使用？

· 有人正在使用该域名吗？

· 域名当前的DNS配置是什么？

· 域名是否配置了有效的TLS证书？

· 域名的项目历史有哪些？

· 我们如何获取所有的数据？

· 最后，能够对域名进行实时跟踪吗？

我们目前还没有一个好的解决方案来跟踪所有这些我们想要的数据，但是第一步，肯定是信息收集。尽量使用自动化信息收集，这样可以将数据格式化到一个方便的包中进行追踪和更新。

有了SpecterOps团队的大力投入和好的想法，现在大多数问题都得到了很好的解答并且完全实现了自动化。虽然域名检出和项目历史总是需要一些人工输入，但是可以更简单更方便。

最令人兴奋的是，最后一个问题的答案是肯定的，所有这些数据都可以实时更新来监控你的活跃域名！

牧羊人手杖介绍

牧羊人使用他们的手杖来聚集羊群，抵挡掠食者，并保持平衡。DomainCheck是一个新工具，可以用作你的域牧羊人手杖。

DomainCheck下载地址：https://github.com/GhostManager/DomainCheck

DomainCheck的作用是帮助运营商监控与其域名相关的变更。这包括分类，VirusTotal检测和恶意软件黑名单上的外观的变更。DomainCheck目前仅适用于Namecheap，但也能够适用于提供API访问的其他注册商。

DomainCheck会在提供的Namecheap帐户下提取出注册的域列表，收集每个域的DNS设置记录，然后检查每个域以确保它可以投入使用。这包括检查WhoisGuard是否已启用，域是否已过期，域是否已正确分类，域未在VirusTotal中标记或标记为错误类别，并且域未被列入垃圾邮件黑名单中。

DomainReview类使用以下源来检查域名的运行状况：

· 思科Talos

· Bluecoat

· IBM X-Force

· Fortiguard

· 趋势科技

· OpenDNS

· MXToolbox

· VirusTotal

· Cymon

此外，DomainCheck从malwaredomains.com中提取最新的“恶意”域列表，并检查是否有任何Namecheap域名出现。

DomainCheek支持两种模式：

1.检查模式

在检查模式下，DomainCheck会提取域名列表并仅检查每个域名一次。检查完成后，DomainCheck将数据输出到一个csv文件中。还有一个可选标志—wiki，如果选择了这个标志，DomainCheck也会以Confluence wiki系统所理解的markup语言生成结果。这种markup语言可以复制并粘贴到Wiki系统中，以创建格式良好的表格。

要执行此操作，请编辑Confluence wiki页面，单击“insert”来插入Markup部分，然后在DomainCheck生成的markup中粘贴。

下面这条命令检查Namecheap账户下的所有域名：

domaincheck.py checkup –wiki

下面这条命令只检查加了—filter-list参数的域名：

domaincheck.py checkup wiki --filter-list
domaincheck.com,spectreoops.net

2.监控模式

在监控模式下，DomainCheck将持续检查域，不管是Namecheap帐户上的所有域名，或者是用户在命令行上提供的域名都会检查。我们可以设置一个时间间隔（以分钟为单位），DomainCheck在这段时间内会休眠不再检查，过了这段时间再重新开始检查。

如果提供了—slack标志并配置了Slack WebHook，则只要检测到问题（错误分类，VirusTotal检测，监视列表中添加域），DomainCheck就会发送预配置的Slack消息。除了终端中显示的警告外，还会发送这些消息。

以下命令每隔60分钟检查一次命名域，如果检测到问题，则发送Slack消息：

domaincheck.py monitor --domains domaincheck.com,spectreoops.net -i 60 –slack

接下来的工作

为了与Will在GhostPack上的工作保持一致，这个项目将在新的GhostManager组织下共享。

随着域管理系统的开发工作的完成，未来几个月将会有更多的讨论。该项目以及其他专注于管理和组织的项目也将在GhostManager下共享。从2019年开始，你们可以在GhostManager上查找其他项目！