|
|
|
联系客服020-83701501

网络安全威胁情报系列研究之 基于海量DNS数据的

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Internet安全威胁谍报系列研究之 基于海量DNS数据的威胁谍报缔造

板滞学习和威胁谍报作为以后抢手的两大前沿技艺,已经为愈来愈多人所存眷。

Sec-UN两位作者就这两个抢手技艺领域中止汇集,把持实在Internet数据中止了一次海量日志数据的谍报开掘测试,一小块成果共享如下。

基于板滞学习的谍报主动产生技艺用于直接产生阻断规定今朝还是弗童稚的,可是其很是失当中止海量数据的主动粗筛,当前扶助板滞的主动考据和人工的确认悔改,末了可成为贪图海量数据环境下生成谍报(大概说缔造抨击打击)的有效才略。

作者苦求匿名,如下申报注释:

大数据安全讲了两三年耳朵早就起茧也不见有甚么具体方法和案例放进去,大概枚举一堆高大上术语感叹词砸晕你,非白富美投不起那钱满世界摆设种种sensor罐子大数据平台,大概分享的凡是虚头巴脑无法复制的云山雾罩,关联序列种种数据开掘忽悠起来条理分明就是没有实例。眼看着威胁谍报劈头如火如荼,上面的情形更是愈演愈烈。

Sec-UN觉得这可无益于安全行业的健康倒退,决定渐渐地下一些数据阐发实例,让更多小搭档投入就在身边的安所有据阐发大潮,认识:

1)“数据驱动的安全”也或是很便宜!

二)你手里那些数据也能缔造良多安全标题问题,不要觉得没有上P大数据就甚么都做不进去!

三)大型团队两三年的跟踪研究申报险些很炫,但只要你有符合的技艺和工具,一个人还是能撰写高风致的谍报!

本日登场的数据主角是DNS剖析日志里的域名。没错,只要域名,一行一条,共有二800万条,一天以内囊括的,几个月前的历史数据。

全是光秃秃的域名怎么做关联阐发啊?千万别打退堂鼓,固然不是部门日志,不克不及做DNS诱骗阐发等等,但也完全充实缔造良多乏味工具!

配角是歹意域名阐发工具,Sec-UN成员小公司出品,马力柔弱瘦弱,laptop上阐发处置惩罚二800万条域名不到10分钟!

奸通奸骗?当心:成心用几个月前的数据,现在标题问题网页都已经看不到,不要去测验考试!?奸通奸骗

、Domain Shadowing

本年三月份各大力量厂商炒得炽热的头条:Angler Exploit Kit参与了Domain Shadowing才智!言外之意用户你不买我昂贵的威胁谍报办事就搞不定!

1

同学们先去看看思科的宣扬:http://blogs.cisco.com/security/talos/angler-domain-shadowing

2

为海外几年如一日孳孳不息开心于普及知识以晋升行业小我水平的同业们点个赞!

咱们没有按厂商宣扬文稿里所说的那样去找木马样本,就从一堆水灵灵的域名数据里缔造了下面这些模范例子:

3

那是怎么个原由会组成何等结果呢?

4

哈哈,现在你大白了吧。

实在Sec-UN也是有海量木马样本的,但咱们就是要率性地只用域名来阐发,让同学们看看又小又单一的数据也有成绩。

这类随机生成的域名现在已经是抨击打击一方的规范配置,种种kit里都有,从二级域名到子域名,再加上几百个灵动可选的TLD,给阐发和防范带来极大贫穷艰难。有木马样本又如何?还是没言论穷举所有可能出现的域名。Sec-UN的域名阐发工具,把持板滞学习和天然语言处置惩罚技艺,唐塞用算法生成的歹意域名和URL有奇效。

咱们实在很简单地就缔造了好几组雷同实例,都跟上面的差不久不多,这里就不逐一列举。透漏个统计,上面这组有超过二5万个域名!这些域名剖析乞求可凡是象征着浏览器已经试图加载页面,不管是弹窗还是点击,阐明这组歹意网页至少表现了几十万次,一天以内!

呃,可是咱们的域名数据险些在厂商颁布以前囊括的,那让咱们去刚才厂商的IOC链接里查查。地下没有。一组都没有。实时性和地区性,仍是横在威胁谍报厂商后面的一大艰难啊。

等等,我还看到了甚么?

5

、微信干部账号垂纶

把持微信干部号垂纶,仍处于上升势头。咱们在这所有地区一天内的域名剖析乞求数据里缔造了高达二8万个差距的微信干部号垂纶域名。

6

轻易挑了几个查查注册功夫:

7

都很新。看到此中两个注册功夫只差了1秒吗?就像后面提到的,主动化脚本随机生成域名并注册,已经是黑暗财富规范配置,资本低,上线快,周期短,传统产品难以贪图,正是数据阐发大显身手的场景。同学们操办好了吗?

同学们或是继续深挖挖,就或是缔造这不是一个人,是一个机关,有几个注册邮箱被多人混用,近来还仍在注册新的域名。

还或是缔造有多个差距身手的机关,只要域名特色就能区分出。这里就不赘述了。

[via@Sec-UN]

数安新闻+更多

证书相关+更多