使用DNSMon对钓鱼网站的域名安全检测与分析



     为了更好地抵抗安全人员的深入分析,钓鱼域名是恶意样本常常选用的1种技术手段。从标

识符组成和构造上看,钓鱼网站域名的确具有混淆是非的作用,但针对DNSMon这类具有多层

次相关性分析的系统而言,效仿著名公司网站域名的效果则得不偿失,因为这样的网站域名要

是报警,反倒更容易造成深入分析人员的特别注意。
 
 
本案例从1组疑为钓鱼网站域名来看,更进一步详细介绍DNSMon是如何运用whois,icp备案号

,解析域名内容和图关联等数据,让1组干巴巴的网站域名慢慢一点一点丰富起来直到最终恶意

定性的。意想不到的是,伴随着情节的完成,我们发现这也是一起陷落机器设备总数极大的安

全事件,从我们的数据推算,感染范围远超100w机器设备。因而,我们完成了比较仔细的逆向

分析和回朔,但仅限于篇数,样本深入分析细节描写以及家族演变,将在事后再另起一篇文章

详细介绍。
 
 
一般威胁深入分析普遍的做法是先知道样本恶意再反向,有时候依据DNS数据估算感染范围。

这次DNSMon系列文章内容里表明的,越来越多是先依据DNS数据出现异常并定性,更进一

步探索复原事件始末。即直书反向再统计,变成了先统计再反向。这个先后顺序的变化,是

DNSMon的一小步,确是全部威胁深入分析分支的一大截。
 
 
2020-12-18,DNSMon提示信息1组网站域名baidugif[.]com,qqjpeg[.]com,162pics[.]com,1

62image[.]com存有安全威胁,打开看了一眼,网站域名的独特构造立刻激起了我们更进一

步仔细查看的兴趣爱好。baidu+gif,qq+jpeg,162+pics,162+image,看上去好像大公司提供图

片服务的网站域名,难道说最近有哪些新政策或是新业务流程,造成 好多个大公司竞相增

开新的图片服务?不过即然提示信息有安全威胁,是内鬼的可能性更多。
 
 
就先从系统汇总的网站域名基础信息开始,看看有哪些异常的内容。第一步,从系统提取

whois基本信息。一般来讲,合规运营的公司基本信息会规范且完整。查询的数据显示,

4个网站域名的基本信息很相同,注册时间乃至精准到同一秒完成,而且都打开了隐私保

护。由于百度,腾讯和网易并不会走上“分久必合,合久必分”的历史线路,因而不可能存

有统一完成域名注册的操作。


 
4个网站域名的活跃时间相同,解析结果看上去还算正常,没有指向同一个IP,但NSS都

同为37963阿里云,显而易见是同一机构或个体所为。

 
 
此外,当我们观察这个四个网站域名的流量曲线,注意到这4个网站域名活动行为几乎相

同。到这里,这1组网站域名已经可以标记为99%级别可靠的恶意网站域名了,但是要将

其标注为99.99%可靠的网站域名的话,我们还需要越来越多的交叉数据比对。
分享: