跳转至

T1583-001-购买基础设施-域名

来自ATT&CK的描述

攻击者可能会购买可在对目标进行攻击中使用的域名。域名是用于代表一个或多个IP地址的可读名称。它们可以被购买,或者在某些情况下,免费获得。

攻击者可以将购买的域名用于各种目的,包括网络钓鱼、非法入侵以及C2。攻击者可以选择与合法域名相似的域名,包括通过使用同音字或使用不同的顶级域名(TLD)。攻击者还可以使用国际化域名(IDN)来创建视觉上相似的域名,以便在行动中使用。

域名注册商都有一个可公开查看的数据库,显示每个注册域名的联系信息。WHOIS服务显示私人其他信息,如他们自己的公司数据,而不是域名的所有者。攻击者可能利用这种私人WHOIS服务来掩盖关于谁拥有所购域名的信息。攻击者可能通过使用不同的注册信息、在不同的域名注册商处购买域名,进一步干扰追踪其基础设施。

测试案例

新闻简介:不法分子搭建了某知名外卖平台的钓鱼网站(www.meituam.cn),通过发送短信诈骗该平台入驻商户进行个人信息录入及缴费。该团伙自2020年以来,以木马短信链接的方式作案50余起,涉案资金80余万元,发案地涉及全国21个省份。

https://www.sohu.com/a/452671903_648183

同样在某些电商平台,部分号称能够破解apple密码的商家,所谓的软解密,也是用的相同手法,伪造和apple相似域名,发送钓鱼链接给指定的用户,诱使用户点击进入伪造站点,输入账户及密码。从而实现软解密的效果。

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

企业可能故意注册与他们自己的域名相似的域名,以阻止攻击者创建错别字域名。这种技术的其他方面不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

根据设计,域名注册信息会被记录在公共注册日志中。考虑使用可能有助于跟踪新获得的域名的服务,如WHOIS数据库或被动DNS。在某些情况下,有可能通过已知的域名注册信息来发现攻击者购买的其他基础设施。考虑监测与你自己的域名结构相似的域名,包括在不同的顶级域名下创建的域名。尽管存在各种工具和服务来跟踪、查询和监测域名注册信息,但跟踪多个DNS基础设施可能需要多种工具、服务或更高级的分析方法。

检测工作可能集中在攻击生命周期的相关阶段,如初始访问和指挥与控制期间。

相关TIP

[[T1583-002-购买基础设施-DNS服务]] [[T1583-003-购买基础设施-虚拟专用服务器]] [[T1583-004-购买基础设施-服务器]] [[T1583-005-购买基础设施-僵尸网络]] [[T1583-006-购买基础设施-web服务]]

参考推荐

MITRE-ATT&CK-T1583-001

https://attack.mitre.org/techniques/T1583/001/

不法分子高仿某外卖平台网站,入驻商户遭遇“钓鱼攻击”

https://www.sohu.com/a/452671903_648183

关联 [[]]