DNS数据挖掘与Hunting
DNS层面挖掘其安全问题。具体思路如下:
1.收集域名信息(本次收集以政府和高校为主)
2.对域名进行批量查询其 A记录、CNAME与泛解析
3.分析域名是否采用了CDN、云防护之类设备
4.数据分析
a)IP下同一域名信息:这个实现原理为分析域名DNS解析后是否对应同一IP。一方面可以用来分析同一IP下有哪些网站;另一方面若该IP为恶意IP,通过IP上对应的域名了解哪些网站的域名被恶意解析。
b) 哪些域名使用CDN、云防护之类产品或服务.
c) IP的地理位置分析。政府类域名解析后一般其IP地理位置都为其域名所有者所属地市,若发现存在非当地城市,进行提取并分析;即使采用了CDN、云防护之类的产品,DNS解析后的IP地理位置应该也在国内,一般不会解析到国外的IP。若解析到国外,提取并分析。
d)结合IP威胁情报分析:把解析后的IP地址全部查询一下其IP威胁情况,对恶意的IP上的域名进行提取并统计同一IP下的域名。
e)入侵目的分析:基于目的驱动的原则,黑客既然入侵,肯定会有所目的与动作。因此对恶意IP及同一IP下的域名提取并分析,以分析黑客入侵目的。
f)若恶意的IP上有黑客注册的网站,可提取网站备案的邮箱、QQ及域名相关的日志,尝试关联黑客身份信息。
一个IP被同时解析到很多域名,多数情况下是IDC服务器。黑客组织的C2部署一般都是这种情况,并不是单独主机,而是买了网站托管服务,就会出现这种IP,你会发现其解析到很多其他不知名网站。
专属IP一般是为了长久远控而单独购买的VPS,会发现解析比较单一。
FOFA资产漏洞预警
漏洞预警和资产分布统计。当新的漏洞被曝光后,可以利用FOFA进行快速统计分析,找到全球和全国受漏洞影响的资产分布。在许多人之前迅速掌握漏洞影响情况,没准还能找到一两个大公司漏洞。在2017年的时候,就有一个白帽子利用FOFA挖到了google的漏洞,那时候新曝出了一个Jenkins漏洞,这个白帽子用FOFA搜索到了google的Jenkins服务,发现其Jnkins服务存在RCE漏洞,并获得了1337美刀。
访问恶意网站时CPU飙升,关闭网站后回复正常水平。访问小电影网站时候多留心自己的CPU性能。
参考链接
https://www.freebuf.com/news/181267.html
https://www.freebuf.com/fevents/186093.html