如何挖掘机器人水军的幕后推手?

  • 挖出隐藏在幕后的恶意行为者,这也是 OSINT 调查的一个重要分支。要做出优秀的报告也许需要点经费,但我们本着不花钱的大原则,也能做出像样的调查。在这里试试免费工具

Wojciech 写了一个脚本,它将域名、IP 或电子邮件地址作为输入,并在各种服务中搜索,如:Whois,Reverse whois,Historical whois,VirusTotal,Threatcrowd 等。一切都记录在 Elasticsearch 和 json 文件中。最后它创建一个图表,以说明资源之间的所有连接。

这是开源的,源代码在这里:https://github.com/woj-ciech/Danger-zone

介绍

在许多情况下,当您需要仅基于一个电子邮件地址、或单个域名映射攻击中使用的基础架构时,手动检查所有内容然后连点成线是一项非常繁琐的工作。可视化能帮助您全面了解攻击者的网络,然后您可以更深入地跟踪尽可能多的潜在目标。

每个信息都可能有价值,以便跟踪威胁行为者的身份,因此如果我们能够在多个来源中搜索它,那么就会有更好的机会来获得更多有用的信息。此外,连接所有这些源并在收集的数据之间建立连接可以更充分理解您正在处理的内容。

printed sticky notes glued on board

Danger Zone

在跟踪网络中的恶意行为时,会使用到大量工具,Danger Zone 的主要目标是将其连接到一起,为您提供简单的可读输出,将其可视化为图形并将其余数据存储在 Elasticsearch 和 JSON 文件中。

我尝试使用尽可能多的免费服务来做经典的 OSINT 风格,好消息是只需要两个关键工具。其中第一个是 Whoxy,有个限制就是只能检查 2–3 level,第二个是非常著名的 VirusTotal,免费版本每分钟仅允许4个请求。其余服务完全免费,如 Trumail 用于电子邮件验证,Extreme IP 用于 IP 地理位置检索, Username Check 用于检查社交媒体网站中用户名的存在。

脚本仅显示 3 个最新结果,只是为了给您提供见解,例如实际托管在该 IP 上的内容,但保存所有结果以供进一步审核。它可以用于小规模调查,也可以作为大型调查的一部分。下面举三个例子,关于如何使用。

恋童癖网络

有人正在分享 CP 并留下了他的电子邮件以获得“支持”。我想知道可以收集到多少有用信息以追踪发布者的身份。

 

Network started from “.net” emaill

我从“.net”电子邮件地址开始,该地址位于图表的中心。在反向 Whois 模块的帮助下,它找到了相关的“.top”,“.com”和“.biz”域名。由于显而易见的原因把它打码了。然后检查这些域名的电子邮件和 IP。其他信息显示在控制台上。

Snippet of console output

电子邮件和用户名非常独特,因此我可以放心地将 Twitter 帐户关联到电子邮件。我们看到此用户发布了谷歌 URL 缩短程序(已禁用)的链接,具有类似机器人的行为。最后的帖子停在 2012 年,但我们可以看到他仍在运作。

Twitter account connected to email

借助这个工具和其他半自动技术,我能够构建这类网站的脉络,包括电子邮件、来自whois(电话号码、地址和其他)的记录,IP 和域名(其中一些账户仍然在运行,分发令人不安的内容)。

Betabot 案

Betabot 是一种危险的木马病毒,这里有一个案例。本文以它为例做一个测试。这个例子是 goog [.] com 和 onedriveservice [.] com。让我们看看它在图表上的样子:

Graph for goog[.]com

我们从 goog [.] com 开始。脚本发现 IP 和一个电子邮件地址相关联,并与另一个域名相关联。最后,我们可以发现“yahoo.com”地址与“.com”电子邮件相关联,然后该电子邮件与我们找的初始域名 goog [.] com 相关。

onedriveservice [.] com 的图表看起来像这样,我们可以看到它托管在185.106.120 [.] 202上,这个 IP 链接到其他恶意域名,如 fakeavhelp [.] website 或其他看似奇怪的 TLD 域名。

诈骗无处不在

垃圾邮件活动、虚假技术支持网站、或各种其他诈骗,必须在某个地方以某些名字和电子邮件托管。我读过关于 fximperium [.]net 案例的文章,最初发布在一个波兰安全网站上,看起来有点复杂。其实一半的工作都可以在这里自动完成,下图显示了域名 fximperium [.] net 的结果。

Graph for fximperium[.]net

它连接到电子邮件地址 gabriel [at] fximperium. com,我们发现了另一个与此特定电子邮件关联的域名。

如果您需要更多信息,如地址、姓氏或其他相关域名,您可以随时使用 Kibana。只需选择 o 模块(在左侧),然后提供您的查询内容。

Reverse whois module in Kibana

当然,如果您没有 Elasticsearch,也可以读取为每个已检查资源创建的 JSON 文件。例如检查 fximperium[.]biz 的 Whois 模块历史记录。

总结 Danger-zone

特性

根据给定的电子邮件关联域,并检查这些域查找其他关联电子邮件和 IP。 检查域的 IP 和电子邮件,并查找其关联域。 从IP中提取域,并检查域查找其他关联 IP 和电子邮件。

模块

Email:

Trumail — 验证 email 地址 (https://trumail.io/) Whoxy — whois 反查服务 (https://whoxy.com/) 需要密钥 haveIbeenPwned — 检测账号是否泄露及泄露站点 (https://haveibeenpwned.com/) Username check — 检查社交网站上基于 email 地址的用户名 (https://username-availability.herokuapp.com/) Google — Google 查询

IP:

Geolocation — 地理定位 IP (https://extreme-ip-lookup.com/) Threatcrowd — 有关 IP 信息 (https://github.com/AlienVault-OTX/ApiV2) VirusTotal — 有关 IP 信息 (https://www.virustotal.com/) 需密钥

Domain:

TLD — 获取顶级域赞助商 (https://raw.githubusercontent.com/mikewesthad/tld-data/master/data/tlds.json) Threatcrowd — 有关域的信息 (https://github.com/AlienVault-OTX/ApiV2) Whoxy — Whois 服务 (https://whoxy.com/) Whois history — 有关域的历史信息 (https://whoxy.com/) Wayback Machine — 网站存档备份网站(http://archive.org/) VirusTotal — 有关域的信息 (https://www.virustotal.com/)

设置&配置

git clone pip install -r requirements.txt
pip install Google-search-api

有关 Elasticsearch 设置请参考:https://www.elastic.co/guide/en/elasticsearch/reference/current/_installation.html

有关 Kibana 设置请参考:https://www.elastic.co/guide/en/kibana/6.4/install.html

编辑 settings.json 文件,并添加密钥和 ElasticSearch 信息:

{
  "keys":{
    "whoxy": "xxx",
    "virustotal": "xxx" },
  "elastic":{
    "host":"127.0.0.1",
    "port":9200 }
}

使用

python danger-zone.py -h usage: dangerzone.py [-h] [–email EMAIL] [–address ADDRESS] [–domain DOMAIN] [–elasticsearch] Correlate data between domains, ips and email addresses and present it as a graph. optional arguments: -h, –help 显示帮助信息并退出 –email EMAIL Email 地址 –address ADDRESS IP 地址 –domain DOMAIN 域名 –elasticsearch Elasticsearch 输出

Console

  • 生成到控制台的报告信息会比保存文件的更详细。
  • 其他信息包括 Google 搜索结果,用户名检查和 HaveIBeenPwned 模块。
  • 重要的信息会在控制台中高亮显示,可以帮你更好的记忆和关联它们。

Kibana

  • 使用各个包含特定信息的模块名称创建索引。

结论

如上,现在您已经了解到如何最快速简单地映射基础设施和跟踪个人。您还可以发现一些新的潜在线索,例如来自 Whois 的历史数据,并将其连接到新的电子邮件地址。此工具可以使用在更大的案例中,也可以单独进行小案例的尝试,以识别新的潜在线索,或发现互联网中的恶意行为者。

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据