“每一种已知的网络组织都面临着两种未知的威胁”。已知的威胁是安全专家发现的威胁,通常发表在博客和主要新闻机构中,并附有相应的妥协指标(IOC)。同时,未知的威胁是那些对受害者和研究人员仍然隐藏的威胁。这些IOC尚未确定和披露。
检测未知威胁的一种方法是使用已知的ioc作为起点。通过黑名单的丰富,这是可能的。也就是说,企业可能会发现,深入研究现有的黑名单,发现攻击者使用有害或彻头彻尾的恶意IP地址作为输入的整个数字足迹是有用的。在本文中,我们将通过一个反向IP/DNS数据库来说明如何做到这一点。
查找到恶意域的其他隐藏连接
为了说明这一点,我们获得了AbuseIPDB数据库最近20个恶意IP地址添加(截至2020年9月30日)的列表,其中包括:
P Address | Number of Citations for Malicious Activity |
---|---|
158[.]69[.]110[.]31 | 8,870 |
141[.]98[.]9[.]165 | 3,038 |
222[.]186[.]30[.]112 | 3,036 |
91[.]204[.]248[.]42 | 2,311 |
106[.]12[.]92[.]246 | 2,264 |
180[.]76[.]186[.]109 | 1,253 |
147[.]135[.]135[.]111 | 1,133 |
171[.]34[.]78[.]119 | 467 |
116[.]233[.]19[.]80 | 454 |
106[.]13[.]177[.]53 | 444 |
209[.]97[.]166[.]234 | 139 |
119[.]28[.]223[.]229 | 48 |
59[.]42[.]39[.]125 | 27 |
113[.]173[.]192[.]117 | 2 |
123[.]27[.]89[.]50 | 2 |
180[.]120[.]211[.]191 | 2 |
206[.]189[.]72[.]161 | 2 |
141[.]98[.]9[.]166 | 1 |
156[.]199[.]196[.]137 | 1 |
222[.]138[.]49[.]79 | 1 |
一般调查结果
对违规引用的IP地址进行初步分析后发现:
根据IP地理位置,20个IP地址中有9个位于中国。
158[.]69[.]110[.]31各种恶意活动被引用次数最多(8870次)。
恶意引用的前三位原因是黑客攻击(18个IP地址)、文件传输协议(FTP)暴力(17个IP地址)和暴力(16个IP地址)。
使用反向IP/DNS数据库深入研究恶意IP地址的数字足迹
虽然IP级别的阻止可以保护组织免受任何恶意IP地址(如209[.]97[.]166[.]234)可能带来的威胁,但这可能是不够的或最佳的。另一种或补充的方法是查找和阻止连接到恶意IP地址的域或子域,尽管只有在确认这些地址是有害的之后。
例如,我们的反向IP/DNS数据库显示,209[.]97[.]166[.]234在某个时间点解析为以下域和子域:
用户可以使用威胁情报平台或公开可用的威胁数据库来检查这些实体,看是否有任何相关的域或子域需要黑名单。例如,从上面的列表中,我们发现appleidmanager[.]ddns[.]net在VirusTotal上被称为恶意的。
那些只依赖和阻止与已知IOC的访问的组织可能会错过加强其网络安全的机会。通过使用反向IP/DNS数据库对恶意IP地址进行进一步检查,可以识别可能代表未知威胁的危险属性。