针对Alexa Top 100站点进行的一次钓鱼攻击分析
各位,今天我们将做一些特别的事。该文是由Ethan Dodge (@__eth0)以及Brian Warehime联合撰写,我们将会探讨Alexa Top 100域名中网络钓鱼防御手法,同时也会揭露一些针对这些域名做钓鱼攻击的案例。
我们结合一款新的DNS探测工具DNStwist以及一些自己写的Python脚本来收集并分析我们发现的所有信息,当然你可以跟着我们的思路一起来探究。
综述
我们将抓取Alexa排名前100的域名,通过一个脚本收集DNStwist修改版本获取到的变动域(permutated domain)及排列类型(bitsquatting,插入,缺省,替换等),凭借这份清单中的域名我们进行主机查询,获取域名主机的IP地址。最后我们将进行WHOIS查询以及对IP进行反向DNS查询,比较其注册/指向记录信息。
进行完数据比较后,我们可以得出到底哪种类型的排列覆盖攻击范围最广(即原域名注册的变动域可能防止网络钓鱼)以及哪种类型的排列覆盖范围最小。
抓取数据
首先我们得获取Alexa前百万站点数据
wget http://s3.amazonaws.com/alexa-static/top-1m.csv.zip
接着将范围缩小到前100
cat top-1m.csv | awk -F ',' {'print $2'} | head -n 100 > alexatop100.txt
获取排列的域名
起先,我们会从DNStwist获取一份排列清单,我们继续修改原始脚本将多余的输出信息阉割掉。我们只需要排列类型,以及排列类型所生成的域名。
下面截图显示了使用google.com作为示例生成的排列结果
现在我们拥有了属于我们自己的域名清单,接着使用下面的一行bash命令来遍历所有的域名。然后通过运行经过修改的dnstwist将结果输出到一个新的文件中
while read domain; do python dnstwist.py $domain > ~/Desktop/alexatop100/$domain; done < ~/Desktop/alexatop100.txt
运行上面的命令大概需要5秒钟,最后我们获取到的目录大概是这样
主机查找
在我们的计划中,接下来就是对生成的域名清单进行主机查找工作了,我们想要得到一个包含变动域,变动类型以及IP地址的文本文档。
以下bash命令可用来浏览每个域名的所有排列方式并运行主机查询,将其添加到一个新文件以供我们进行下一步分析。
for file in *; do python hostlookup.py $file; done
运行上面命令大约30分钟后,我们得到这样一个目录
你应该也注意到了,这个目录增加了100个附加\_hostlookup的文件。在每一个文件中我们可以看到每一个变动域的IP地址以及其他判定信息
反向DNS查询
起初我们是想进行反向DNS查询,看IP的指向记录。然而,我们认为进行WHOIS查询可以获取更完整的信息。无论如何,这个步骤还是应该进行下去。
接下来我们写了一个Python脚本从每一个返回的排列中获取其指向记录。其包括域名,IP,排列类型,指向记录以及基于我们抓取的主机名进行判断其是真假。
运行下面的bash命令,我们获得了前缀为_rdns的100个文件
for file in *; do python rdnslookup.py $file; done
在每一个文件中我们都能看到指向记录和真假判断结果
WHOIS查询
在进行WHOIS查询之前,我们需要用到主机查询时获取到的数据。
在这一部分,我们想要抓取WHOIS信息中的描述字段。经过WHOIS和DNS反向查询,我们就完全有能力去匹配变动域中的IP地址。
最后,我们得出2个数据结果一个来源于WHOIS查询,一个来源于DNS方向查询。使用这些数据我们进行一些统计来回答文章前面提出的问题,在此之前我们需要将数据导入Splunk。
Splunk Setup
为了让Splunk能够识别这些字段,我们需要对位于/opt/splunk/etc/system/local/目录下的props.conf进行配置
[phishing]
REPORT-phishing = REPORT-phishing
[whois]
REPORT-whois = REPORT-whois
接着编辑位于/opt/splunk/etc/system/local/的transforms.conf文件
[REPORT-phishing]
DELIMS = " "
FIELDS = "domain","ip","perm_type","hostname","is_match"
[REPORT-whois]
DELIMS = " "
FIELDS = "domain","ip","perm_type","owner","is_match"
如此这般都是为了进行更好的分析
WHOIS分析
进入正题,我们将从WHOIS数据入手进行分析
下面的清单是最常用的变动类型
sourcetype=whois | top perm_type
好吧,那么有多少是由原域名所有者自己注册的潜在域名?
sourcetype=whois is_match=true | stats count
在所有的域名中,经过我们不完全统计有460个域名是由原域名所有者自己注册的。
现在我们就来看看原域名所有者钟爱的变动类型排名
插入类型域名十分受欢迎啊
sourcetype=whois is_match=true perm_type="Insertion" | rex field=source "\/tmp\/(?<original_domain>[^_]+)"| top original_domain
现在我们忽略排列类型来看看
这么看起来Amazon似乎是最在意保护用户的啊
反向DNS分析
好了,接下来进行反向DNS分析,看看最常见的变动类型
sourcetype=phishing | top perm_type
那么有多少是由原域名所有者自己注册的潜在域名?
sourcetype=phishing is_match=true | stats count
在所有的域名中,经过我们不完全统计有381个域名是由原域名所有者自己注册的。
现在我们就来看看原域名所有者钟爱的变动类型排名
两个数据来源都得出插入类型域名十分受欢迎
sourcetype=phishing is_match=true perm_type="Insertion" | rex field=source "\/tmp\/(?<original_domain>[^_]+)" | top original_domain
继续忽略排列类型看看
sourcetype=phishing is_match=true | rex field=source "\/tmp\/(?<original_domain>[^_]+)" | top original_domain
与使用WHOIS数据得出的结论相同,Amazon在网络钓鱼入口防御这方面下的功夫很大啊。
DDoS防御站点
当然,我们知道这个统计结果不完全是正确的。因为就我们已知的例如wikipedia.com域名就是Wikimedia所拥有的,但是我们还是将其记录为虚假站点。
其中我们还发现有大量的域名记录指向prolexic.com,这是一个DDoS防御站点。我们怀疑钓鱼域名会去使用这个DDoS防御,是因为大流量所带来的费用不是一般人能承担的。基于这个现实,我们将指向prolexic.com的站点计入真实站点。
让我们重新运行一些最初的搜索
首先,有多少域名有变动域名进行保护?
sourcetype=phishing | eval ddos=if(searchmatch("hostname=*prolexic*"),"True","False") | search ddos="True" OR is_match="True" | stats count
我们看到结果为808而不是之前的381,大改变啊
变动类型排名
最后,哪个域名最有良心
总结
最后的最后,最有趣的研究结果出来了。
最常见的域名变动类型为替换和插入(netflox.com 与 netfliix.com),同时我们还发现大多数公司使用DDoS防御站点转向到他们的变动域名(这只是一个有趣点,还谈不上惊喜),最后我们看到amazon.com, booking.com 以及 yahoo.com对于用户来说十分有良心啊,就怕用户输入URL时出错。
对于像amazon.com, booking.com 以及 yahoo.com在防御钓鱼攻击方面所做出的努力,
致敬!