首页 软件演示 价格 帮助文档 更新日志

登录 立即注册

新闻资讯

新闻资讯 / 利用反向IP/DNS数据库充实IP黑名单

利用反向IP/DNS数据库充实IP黑名单

时间 : 2020-10-21 11:27:20

“每一种已知的网络组织都面临着两种未知的威胁”。已知的威胁是安全专家发现的威胁,通常发表在博客和主要新闻机构中,并附有相应的妥协指标(IOC)。同时,未知的威胁是那些对受害者和研究人员仍然隐藏的威胁。这些IOC尚未确定和披露。

 

检测未知威胁的一种方法是使用已知的ioc作为起点。通过黑名单的丰富,这是可能的。也就是说,企业可能会发现,深入研究现有的黑名单,发现攻击者使用有害或彻头彻尾的恶意IP地址作为输入的整个数字足迹是有用的。在本文中,我们将通过一个反向IP/DNS数据库来说明如何做到这一点。

 

查找到恶意域的其他隐藏连接

 

为了说明这一点,我们获得了AbuseIPDB数据库最近20个恶意IP地址添加(截至2020年9月30日)的列表,其中包括:

 

P Address Number of Citations for Malicious Activity
158[.]69[.]110[.]31 8,870
141[.]98[.]9[.]165 3,038
222[.]186[.]30[.]112 3,036
91[.]204[.]248[.]42 2,311
106[.]12[.]92[.]246 2,264
180[.]76[.]186[.]109 1,253
147[.]135[.]135[.]111 1,133
171[.]34[.]78[.]119 467
116[.]233[.]19[.]80 454
106[.]13[.]177[.]53 444
209[.]97[.]166[.]234 139
119[.]28[.]223[.]229 48
59[.]42[.]39[.]125 27
113[.]173[.]192[.]117 2
123[.]27[.]89[.]50 2
180[.]120[.]211[.]191 2
206[.]189[.]72[.]161 2
141[.]98[.]9[.]166 1
156[.]199[.]196[.]137 1
222[.]138[.]49[.]79 1

一般调查结果

 

对违规引用的IP地址进行初步分析后发现:

 

根据IP地理位置,20个IP地址中有9个位于中国。

158[.]69[.]110[.]31各种恶意活动被引用次数最多(8870次)。

恶意引用的前三位原因是黑客攻击(18个IP地址)、文件传输协议(FTP)暴力(17个IP地址)和暴力(16个IP地址)。

使用反向IP/DNS数据库深入研究恶意IP地址的数字足迹

 

虽然IP级别的阻止可以保护组织免受任何恶意IP地址(如209[.]97[.]166[.]234)可能带来的威胁,但这可能是不够的或最佳的。另一种或补充的方法是查找和阻止连接到恶意IP地址的域或子域,尽管只有在确认这些地址是有害的之后。

 

例如,我们的反向IP/DNS数据库显示,209[.]97[.]166[.]234在某个时间点解析为以下域和子域:

 

  • mx12[.]collision48419[.]tokyo on 19 August 2020
  • coingnu[.]com on 27 November 2019
  • khun-teee[.]com on 28 August 2019
  • naitinoi[.]com on 20 August 2019
  • rhicavipz[.]me on 30 November 2018
  • manage-apleid[.]ddns[.]net on 26 November 2018
  • anumase[.]ddns[.]net on 25 November 2018
  • appleidmanage[.]ddns[.]net on 25 November 2018
  • hmmjembod[.]sytes[.]net on 25 November 2018
  • applelockedreview[.]myvnc[.]com on 25 November 2018
  • tools[.]hackers[.]moe on 2 November 2018
  • openph[.]org on 5 July 2018
  • staging[.]openph[.]org on 5 July 2018

 

用户可以使用威胁情报平台或公开可用的威胁数据库来检查这些实体,看是否有任何相关的域或子域需要黑名单。例如,从上面的列表中,我们发现appleidmanager[.]ddns[.]net在VirusTotal上被称为恶意的。

 

那些只依赖和阻止与已知IOC的访问的组织可能会错过加强其网络安全的机会。通过使用反向IP/DNS数据库对恶意IP地址进行进一步检查,可以识别可能代表未知威胁的危险属性。