OSINT Primer:域名(第1部分)
翻译文章,原文链接:https://0xpatrik.com/osint-domains/
在这篇文章中,我将解释如何尽可能多地查找有关域的信息。该文章没有解决查找相关域的枚举部分,而是查找特定于域的数据,
例如域名持有人,信誉或DNS设置。这篇文章的目标是致力于所有威胁情报,恶意软件分析,漏洞赏金计划,新闻业以及许多类似领域的人。
注意:这是此OSINT入门的第一个版本。我将使用新的工具和技术逐步更新它。
在深入研究具体技术或工具之前,我想简要谈谈思维方式。通常,我有以下目标之一:
该域名是我的目标的主要域名,我想尽可能多地获取信息。请注意,在这种情况下,我通常会搜集一切有用的东西。
域名可能是恶意的,我想证实我的假设,看看它是什么。
域似乎是一个潜在的攻击媒介,以收集最初的攻击点。具体来说,它正在托管一些可以被利用的服务。我想看看有关这些服务的详细信息。
请记住,你应该始终有一个明确的目标。这能防止你做不必要的事情。
请注意,域上存在的域和服务略有重叠。在某些情况下,我将解释影响服务的技术。
WHOIS
你应该掌握的第一个技术是WHOIS查找。WHOIS用于查询存储域名,IP块或ASN的注册用户的数据库。你可以使用CLI工具:
$ whois DOMAIN
或选择某些Web服务,例如ICANN WHOIS。
WHOIS数据提供有关注册域名的实体信息。请记住,某些域可能隐藏了WHOIS信息,有些域可能提供错误数据。
WHOIS数据提供了该域名与某个特定组织相关联的线索。虽然这在枚举步骤中更有用,但WHOIS数据可以在某些特定情况下提供帮助:例如,如果你遇到试图模仿某个特定组织的域并且WHOIS记录与该组织无关,那么这是一个巨大的危险信号。
域分析
有时,你希望全面了解域管理员所做的域信息或决策。
我的首选工具之一是Robtex的DNS查找。它提供了有关域的大量信息。我特别喜欢共享部分,它们为你提供有关其他相关域的概述(是的,这与枚举阶段有关,原谅我一次:-))
Robtex提供了更多信息(例如,SEO详细信息,信誉……),但通常在有限的范围内。我尝试使用其他来源获取具体细节。Robtex为我提供了高层次的视角。我强烈建议在那里创建帐户,以便你可以利用更高级的功能。
接下来,我想使用domain_analyzer为我提供更多域设置的信息。这个工具甚至可以抓取网站来发现电子邮件等等。我喜欢以更有限的方式使用它:
python domain_analyzer.py -d DOMAIN -w -j -n -a
想直接判断此输出中哪些数据有用是很困难的。但它曾多次帮助过我。我喜欢存储输出的数据并在分析过程中多次使用它。
被动数据
检查过去的域名服务很有用。有两种类型的被动域数据:
1. 被动DNS - 过去DNS记录值是什么 1. 被动“内容” - 过去在此域名托管上的Web服务是什么
对于被动DNS,我喜欢使用RiskIQ社区版。界面非常简单,搜索结果会直接显示:
尽管RiskIQ CE旨在成为域的整体分析平台,但我专门使用它来获取被动DNS数据。与本文的许多其他方面一样,你可以自行决定是使用一个源还是使用多个源来处理不同的数据。我喜欢使用后一种方法,因为每个提供商通常只在一个领域内可靠。
在RiskIQ CE之外,我也喜欢使用VirusTotal:
同样,你将获得比被动DNS更多的数据。根据我自己的经验,RiskIQ倾向于为被动DNS提供更多数据。
最后,我将提到CIRCL.LU的被动DNS,我很幸运能够访问它。我有时用它来交叉关联上面两个来源。请注意,CIRCL.LU被动DNS不向公众开放。
更多被动DNS来源:
1. mnemonic 1. DNSTrails
我的被动内容工具是Wayback Machine。它提供大多数网站过去的快照。通常有多个快照,因此你甚至可以选择要查看的快照日期:
快照的频率取决于网站的受欢迎程度。最后,我想使用简单的Google Dork从Google数据库中检索网址,如下所示:
cache:https://eff.org/
内容分析
你可能需要检查域中当前服务的是什么Web服务器。在处理潜在的恶意软件站点时,有必要遵循基本的OPSEC指南。当你没有VPN或虚拟机的保护时,你不应该直接访问这样的网站。我喜欢使用urlscan.io的服务,它代表你发出HTTP请求,为你提供屏幕截图以及可用于分析的其他一些信息。
有时,你想要检测某些网站上的视觉变化。当处于关闭状态的域可能在将来更改为不同的域时,这非常有用。为此,我喜欢使用visualping.io。一旦某个域的内容发生变化,此服务将自动通知你。另一个开源替代品叫做urlwatch。
从内容的角度来看,短网址通常被用来伪装恶意软件/钓鱼网站,发送给受害者。名为checkshorturl.com的工具用于自动将短网址恢复到其原始形式。
关于内容,我通常想检查一些网站上使用了什么技术。我使用Wappalyzer作为浏览器插件。Wappalyzer会自动识别你浏览到的每个网站上的技术:
Wappalyzer的结果使我能够在这种情况下触发一些漏洞扫描工具,例如droopescan。如果你想要使用基于CLI的工具,我建议使用stacks-cli。
流量分析
在内容分析之后,我想检查网站在网络上如何推广。我使用了几种SEO分析工具:
1. SimilarWeb 1. moz Link Explorer 1. SEMRush 1. moonsearch 1. Alexa
信誉
在事件响应或恶意软件分析期间,通常需要检查某个域的信誉。信誉可能会让你知道该域名是否与某些恶意活动相关联。有许多免费服务可用于提供此信息。你应该始终检查多个来源,因为对域的分类策略因供应商而异。信誉通常与分类密切相关。域分类由Web服务器托管的内容确定。然后这些类别将用于许多目的,例如使用代理进行Web流量过滤。然后根据类别确定信誉 - 低信任域将包含可疑,恶意等类别广告。
我最常使用的信誉工具:
1. Bluecoat Sitereview 1. Google安全浏览 1. Sucuri Sitecheck 1. ThreatMiner 1. CyMon 1. McAfee TrustedSource
还有域黑名单,它是明确归类为恶意域的域列表。像CyMon这样的工具也会查看这些黑名单。这种黑名单的一个例子是Spamhause Domain Blacklist](https://www.spamhaus.org/lookup/)。
OSINT自动化
如你所见,域相关数据有很多来源。当你需要收集数十或数百个域的信息进行广泛分析时,手动查询每个源可能会耗费精力。据我所知目前没有工具可以查询本文中提到的每一个工具,当下我的主要OSINT工具是harpoon。它是一个非常有用的工具,可以在分析过程中为你节省大量时间。我建议仔细阅读文档并检查可用的源。harpoon的示例输出(查找网站快照):
1. p@eternity:~$ harpoon cache https://eff.org 1. Google: FOUND https://webcache.googleusercontent.com/search?num=1&q=cache%3Ahttps%3A%2F%2Feff.org&strip=0&vwsrc=1 (2018-07-07 13:04:39+00:00) 1. Yandex: NOT FOUND 1. Archive.is: FOUND 1. -2012-12-20 17:36:48+00:00: http://archive.is/20121220173648/https://eff.org/ 1. -2013-09-30 21:30:38+00:00: http://archive.is/20130930213038/http://eff.org/ 1. -2014-01-27 14:55:32+00:00: http://archive.is/20140127145532/https://eff.org/ 1. -2014-03-18 07:18:52+00:00: http://archive.is/20140318071852/http://eff.org/ 1. -2014-03-29 01:59:16+00:00: http://archive.is/20140329015916/http://eff.org/ 1. -2014-10-12 13:29:16+00:00: http://archive.is/20141012132916/http://eff.org/ 1. -2014-11-18 05:30:31+00:00: http://archive.is/20141118053031/http://eff.org/ 1. -2014-11-26 00:27:10+00:00: http://archive.is/20141126002710/http://eff.org/ 1. -2015-01-06 05:16:11+00:00: http://archive.is/20150106051611/http://eff.org/ 1. -2015-02-25 23:13:18+00:00: http://archive.is/20150225231318/http://eff.org/ 1. -2015-04-03 12:32:17+00:00: http://archive.is/20150403123217/http://eff.org/ 1. -2015-06-03 17:17:27+00:00: http://archive.is/20150603171727/http://eff.org/ 1. -2017-01-16 17:29:46+00:00: http://archive.is/20170116172946/https://eff.org/ 1. -2017-02-20 20:15:58+00:00: http://archive.is/20170220201558/https://eff.org/ 1. -2017-12-13 05:06:22+00:00: http://archive.is/20171213050622/http://eff.org/ 1. -2017-12-17 21:18:37+00:00: http://archive.is/20171217211837/http://eff.org/ 1. Archive.org: NOT FOUND 1. Bing: FOUND http://cc.bingj.com/cache.aspx?d=4505675932894641&w=enxY6wdkqMMA8cCOvykvjwxhAM6cEKCx (2018-06-07 00:00:00)
替代品(来源少,质量差):
1. QRadio 1. Automater
..或者你可以使用 datasploit。要获得更多处理领域开放源码软件的工具,你还应该查看开放源码软件框架。