过期域名在攻击活动中的利用

本文讲的是过期域名在攻击活动中的利用


概述

注册域名所选择的名称对于网络钓鱼场景,渗透测试,特别是在红军发动攻击的过程中是非常重要的一个方面。在基于域名信誉和分类的网络环境中,面临Web过滤已经变得越来越普遍。通常情况下,发送到非常新的或未分类的域名的流量会被这样的过滤设备完全阻止 —— 在其攻击轨道中阻断网络钓鱼的有效载荷或C2代理的连接。最近在安全社区中有很多关于处理这个过滤问题的一些讨论如:Domain Fronting和High Trust重定向,但这些技术会增加额外的配置和复杂性,这可能对每次攻击互动都是不必要的。具体信息请参阅 MDSec的博文“Domain Fronting via Cloudfront Alternate Domains” 和Raphael Mudge的博客以便进一步了解这些技术。

曾被用于良性目的且已被分类的域名通常有一些会过期或被删除,但是可以再次购买,并且只需花费几美元即可。这样的域名可以使红军团队能够绕过基于信誉检查的Web过滤器和网络出口限制,以便用于网络钓鱼和C2控制相关的任务。打开ExpiredDomains.net(过期域名搜索引擎),这是一个极好的网站资源,为攻击者和红军团队提供了一个可以快速找到可用的过期域名的“快餐菜单”,当他们不想要或有充足的时间来开发一个域名目录,维护Web网络服务器,并创建“合法的内容“以便进行正确分类时,这个网站的确可以快速提供他们想要的一切。最好确保在一段时间内就保持一些可用的过期域名,即使你可能不想在一到两个星期内就使用这些过期域名来快速发起攻击活动。

为了实现本文所讲述的目的,为此,我们在2016年9月开始使用DomainHunter来实现域名处理,这是一个小的脚本工具,可以利用Expireddomains.net的过期域名列表,并将其与已知域名的信誉查询来源进行交叉整合,生成可用于攻击活动的潜在的域名名单。Mr-Un1k0d3r创建了 CatMyFish 工具,此工具也利用了Expireddomains.net过期域名列表,源码值得一看。DomainHunter可以快速查询Expireddomains.net过期域名搜索引擎中的已过期或已删除的域名,并自动删除任何已经由Malwaredomains.com披露过的不可信域名。然后,将筛选出的域名根据Blue Coat WebPulse Site Review等服务查询这些域名的信誉。

注意:大多数域名信誉查询服务平台(如Blue Coat)都使用了CAPTCHA保护措施,必须通过减慢脚本请求来避免这种情况,因此如果要运行大量的查询集合,我们建议可以使用计划任务或 cron计划作业执行查询并定期通过邮件向你发送新的处理结果。此外,在对Blue Coat发出约150次请求之后,即使在DomainHunter中设置了缓慢的请求时间,你同样也会收到验证码进行验证。

GitHub:https%20://github.com/minisllc/domainhunter

如果你发现了有用的工具或对该工具有任何建议和改进,可以通过Twitter联系我们!

“银行类的过期域名” HTML报表输出示例

DomainHunter功能

  • 检索指定数量的最近过期和已删除的域名(.com,.net,.org主要)
  • 基于关键字搜索可用的域名
  • 可以利用Blue Coat Site Review服务执行域名信誉检查
  • 按域名已注册年限对结果进行排序(如果可以知道域名已注册年限的话)
  • 生成基于文本的表格和HTML格式的输出报告,其中包含信誉来源和相关的Archive.org条目的链接

用法

安装所有必需的Python库

cd ./domainhunter/ && pip install -r requirements.txt

列出可用的执行选项

python ./domainhunter.py -h
usage: domainhunter.py [-h] [-q QUERY] [-c] [-r MAXRESULTS] [-w MAXWIDTH]
Checks expired domains, bluecoat categorization, and Archive.org history to
determine good candidates for C2 and phishing domains
optional arguments:
-h, --help show this help message and exit
-q QUERY, --query QUERY
Optional keyword used to refine search results
-c, --check Perform slow reputation checks
-r MAXRESULTS, --maxresults MAXRESULTS
Number of results to return when querying latest
expired/deleted domains (min. 100)
-w MAXWIDTH, --maxwidth MAXWIDTH
Width of text table

使用域名信誉检查执行基本查询

python ./domainhunter.py -q dogs -c

域名信誉检查控制台输出示例

原文发布时间为:2017年4月3日

本文作者:丝绸之路 

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-08-29 20:32:17

过期域名在攻击活动中的利用的相关文章

过期域名&SEO巧利用

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 网站优化是站长永恒关注的问题,小编从建站初始选择域名到后期选择主机,进行SEO都在为网站开展优化工作.站长都知道选择好的域名可以为网站优化省很多事儿,但是您是否知道过期的域名好好的利用也可以起到很好的网站优化作用呢?这些过期资源我们应该如何利用呢?下面小编就结合自身经验从5个方面和您探讨一下. 上文说到选择主机也在进行优化,在此小编为大家推荐

调查显示,越来越多的攻击活动不再依赖恶意软件了

根据CarbonBlack的最新研究报告,各位安全研究专家可要注意了,因为现在越来越多的攻击者在进行恶意活动时并不需要依赖恶意软件了. 根据该公司发表的这篇标题为<2016年非恶意软件攻击和勒索软件正在兴起>的报告,在今年的1月份,大约有3%的网络攻击利用的是目标系统中的应用程序漏洞以及合法进程.但是到11月份时,这种攻击方法的占比数量上升到了13%.报告中指出:"不依赖于恶意软件的黑客攻击活动目前已经到达了一种前所未有的高水平阶段,所以在2017年,安全研究专家们应该更加注意这种类

俄外交部:美在竞选活动中利用“俄罗斯黑客”来加剧情绪的压力

据俄罗斯"卫星"新闻网10月8日消息,俄罗斯外交副部长里亚布科夫8日表示,美国在总统竞选活动中利用"俄罗斯黑客"来加剧情绪的压力. 美国国土安全局和美国国家情报总监办公室此前发表联合声明,指责俄罗斯与近期针对美国政治组织的黑客攻击有关. 里亚布科夫表示:"美国在竞选活动中利用'俄罗斯黑客'来加剧情绪的压力,而且现任政府也参与到了这场斗争,并且还不厌其烦使用这一肮脏的手法.我们的敌人继续试图指责俄罗斯干预美国的内政, 但如此严厉的指责完全没有证据材料. &q

Akamai发现全新SEO网络应用攻击活动

阿卡迈技术公司(以下简称:Akamai)今日通过其网络威胁研究团队(Threat Research Division)通报了一项新的网络安全威胁.该团队确认了一种复杂的搜索引擎优化(SEO)活动,这种活动使用SQL注入攻击目标网站,受到感染的网站将发送隐藏的HTML链接,让搜索引擎机器人产生混淆,进而错误地影响网页排名.关于此项攻击的完整报告可点击此链接下载:http://www.stateoftheinternet.com/seo-attacks. 在2015年第三季度的两个星期内,网络威胁研

2015新版godaddy域名续费与过期域名赎回期限及赎回方法

2015新版godaddy域名续费教程 1.进入godaddy官方网站,点击右上角的登陆. 2.登陆成功之后,点击我的账户,如箭头所指 3.然后,在弹出来的下来菜单中,点击绿色的"VISIT MY ACCOUNT" 4.然后点击箭头所指的那个"加号" 5.点击Mange,这个是2015年新版的. 6.点击Renew,再点击Renew Domain 7.注意选择你要续费的年限,一般是1年. 8.点击FINISH 9.点击 CHECKOUT 10.如有优惠码,填写在左下

反ISIS黑客组织宣称为BBC攻击活动负责

作为一支来自美国的队伍,新世界黑客(New World Hacking)宣称为新年前夜BBC遭受的DDoS攻击负责,不过他们同时强调称ISIS才是其真正目标. 一个自称"新世界黑客"的美国黑客活动组织已经宣称为英国新闻服务机构BBC在新前夜遭遇的官方网站攻击事件负责--该组织的攻击活动导致网站关停近四个小时. 该组织还通过Twitter消息向BBC技术负责人Rory Cellan-Jones发送了一系列说明,解释此次攻击确实由其成员发起,但实际目的在于检查自身服务器的攻击能力 BBC方

从抵制“家乐福”活动中悟出网站推广途径

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 由于家家乐福最大股东经济支持达赖和法国政府的公开抵制奥运,在国内喧起了一股抵制家乐福的风波,目前,家乐福事件尚未有平息的动向,我们要理性爱国,暂撇开政治不谈,从抵制"家乐福"活动中悟出网站推广途径(比如:www.suzhiwang.com 就号针对大家抵制家乐福进行网络签名活动). 例一:百家姓中国心的流传 当在国外的留学

用过期域名打造自己网站品牌

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 前段时间速推网无意中注册了www.51seo.net的域名,并发表自己写的一篇原创性的文章,题目为<抢注域名没有最好的 只有最合适的>.此域名原注册的时间为2004年.经我查询,在搜索引擎之中无不良信息.这个说明此域名可以继续做网站.SEO的英文的意思我就不详细解释了,做SEO的都知道是什么意思,搜索引擎优化.51就是我要.简称就

浅谈老域名在百度排名中的重要影响

本人一个月前做了一个公司站,目前住关键词和副关键词排名都在百度前三,很多同行都问我是怎么做上去的,这里就给大家详细说明下. 第一,你首先要找一个老域名,但是不是随便一个老域名就行的,这个老域名最好是有以前做过教育站或政府站权重较高的站,且注册时间越长越好(较新的域名排名上升难度会比旧的域名要大,这是因为搜索引擎对于网站年龄的友好性比较高),而且必须要有一定的外链.我的域名以前是一个学校网站,是个过期域名,还没注册的时候我使用yahoo查询外链的时候能查到100多个外链,而且看了下这个站的历史记录