跳转至

T1596-002-搜索开放的技术数据库-WHOIS

来自ATT&CK的描述

在入侵受害者之前,攻击者可以在公开的WHOIS数据中搜索可在目标确定期间使用的有关受害者的信息。WHOIS数据由负责分配和分配域名等Internet资源的区域互联网注册中心(RIR)存储。任何人都可以查询WHOIS服务器以获取有关注册域的信息,例如分配的IP块,联系信息和DNS名称服务器(引自:WHOIS)。

攻击者可以搜索WHOIS数据以收集可操作的信息。威胁方可以使用在线资源或命令行实用程序对WHOIS数据进行搜刮,以获取有关潜在受害者的信息。这些来源提供的信息可能为其他形式的侦察提供可能性(例如:主动扫描钓鱼),建立运营资源(例如:获取基础设施入侵基础设施),或实现初始访问(例如:外部远程服务信任关系)。

测试案例

whois(读作“Who is”,非缩写)是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商)。通过whois来实现对域名信息的查询。

网站查询

  • 域名Whois查询 - 站长之家
  • Whois 爱站
  • ip138
  • 域名信息查询 - 腾讯云
  • nicolasbouliane
  • 新网 whois信息查询
  • IP WHOIS查询 - 站长工具
  • 微步在线
  • Bugscaner

工具查询

在命令行输入whosi+域名

使用Nmap查询,使用这个方法还可以爆出目标的端口号开启与否:nmap --script=whois-domain +域名

检测日志

测试复现

测试留痕

检测规则/思路

建议

许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的视野之外,从而使防御者难以发现。

检测工作可能会集中在攻击者生命周期的相关阶段,例如在"初始访问"阶段。

参考推荐

MITRE-ATT&CK-T1596-002

https://attack.mitre.org/techniques/T1596/002/

Whois信息收集及利用方式

https://blog.csdn.net/m0_48520508/article/details/107301211

whois查询.白帽与安全

https://www.kancloud.cn/noahs/src_hacker/2120641