& v5 |0 N+ ]. O6 z: G 微软是全球被模仿最多的品牌之一最近利用了WhoisXMLAPI子域名查询 (Subdomain lookup) 工具上运行该公司的热门产品和服务名称,如LinkedIn、Office365和Windows,发现了7900个相关子域名。
0 T( Q; h+ Q7 ]2 Q; o3 o, f 接着利用IP Geolocation和Bulk WHOIS Lookup等域名和IP情报工具对子域查询结果进行了分析所获得的洞察力使我们能够回答这些问题这些域名主要使用了哪些顶级域名(TLD)?根域名和子域名位于哪里?。 ' v8 k( K9 L' w
子域名中常用的词是什么?某些子域是否解析到了恶意的IP地址?可归属子域与不可归属子域的比较从7,900个子域的查询结果中共发现399个独特的顶级域后缀然而,其中只有一个可以公开归属于微软我们是如何发现的?我们使用WHOIS查询来查看微软用于注册其域名的电子邮件地址。 3 F3 L k4 {1 i6 z# R. l
而在399个域名中,只有一个使用相同的电子邮件地址--这让我们对其他域名的所有权产生了一些怀疑有些公司设置与微软相关的子域名可能有合理的理由然而,有些则可能被用于攻击(例如仿冒品牌,或让钓鱼网站看起来更可信)。
% ?( W* N$ ?$ A. _. d0 ?1 Z! P 合法的子域名如果被遗忘和不加保护,也会被威胁者利用十大TLD下图显示了使用的前10个TLD。总的来说,它们占了94%的子域名。其余6%分布在43个其他TLD中。
7 A" D! j; Z' {3 |# Y3 H 子域名位置在对子域名进行地理定位时,可以考虑两个数据点首先是基于根域名的WHOIS记录的注册人国家,尽管这也可以反映注册商的位置或域名所有者使用的隐私保护服务另一方面,IP地理定位则精确地指出子域名解析到的IP地址的地理位置。
! s7 i7 y" D$ o1 f% K IP解析可以通过像批量IP地理位置查询这样的工具来识别,在这种特殊情况下,它发现了1460个IP地址下表显示了前10个注册人国家和子域名的前10个IP位置美国位居注册人国家榜首,与其IP地理位置排名不相上下。 : a+ k, Y- O3 s* @8 M; j/ Y/ Q$ }
除了美国,加拿大、法国也出现在这两个榜单上 + h% M1 ?3 y. j+ o+ ]4 g7 P! @4 I
常用的文字字串文本字符串 "com "不仅作为一个TLD,而且还出现在子域名的其他层级的显著位置,也许是为了让人们相信他们的TLD是.com,并让他们忽略其其余部分下面的截图中用红色突出了几个例子 " b4 C% } a0 ~0 l
除了 "com "之外,其他反复出现在子域名中的词还包括 "online"、"login"、"net"、"microsoftonline"、"microsoft"、"windows"、"office"、"hostmaster "和 "duckdns"。 K! g0 |4 w5 n7 a
下图显示了这些文本字符串出现的次数
, U/ |+ l; B/ l& y$ s" s 与微软相关的子域解析到恶意IP地址的情况一些IP地址与多个子域相关联。在AbuseIPDB上检查了那些有35个以上连接子域的地址。
/ f7 ] H2 |: |. O 这些IP地址被报告用于不同的恶意活动,包括网络钓鱼、垃圾邮件、欺诈性订单、蛮力攻击和端口扫描共有996个子域连接到这些IP地址,因此它们是安全团队的高度优先级这篇关于微软及其产品或服务的子域查询结果的简短研究,旨在说明监控子域作为企业域攻击面的一部分的重要性。 8 w. j8 N+ W1 B ]) W% o
更重要的是,这些子域不仅是微软攻击面的一部分,也是每个用户攻击面的一部分
. [* v c) ?1 N! h" }. g' J' o/ Z: W' n1 W- \6 N, N
$ W( c, ^, F# y& ]& `
1 f6 y: e4 Z+ Z/ _+ G
4 U5 h2 C- T* R4 C, Y1 z' ?! ~
|