微软是全球被模仿最多的品牌之一。最近利用了WhoisXMLAPI子域名查询 (Subdomain lookup) 工具上运行该公司的热门产品和服务名称,如LinkedIn、Office365和Windows,发现了7900个相关子域名。接着利用IP Geolocation和Bulk WHOIS Lookup等域名和ip情报工具对子域查询结果进行了分析。所获得的洞察力使我们能够回答这些问题。这些域名主要使用了哪些顶级域名(TLD)?根域名和子域名位于哪里?子域名中常用的词是什么?某些子域是否解析到了恶意的IP地址?可归属子域与不可归属子域的比较从7,900个子域的查询结果中共发现399个独特的顶级域后缀。然而,其中只有一个可以公开归属于微软。我们是如何发现的?我们使用WHOIS查询来查看微软用于注册其域名的电子邮件地址。而在399个域名中,只有一个使用相同的电子邮件地址–这让我们对其他域名的所有权产生了一些怀疑。有些公司设置与微软相关的子域名可能有合理的理由。然而,有些则可能被用于攻击(例如仿冒品牌,或让钓鱼网站看起来更可信)。合法的子域名如果被遗忘和不加保护,也会被威胁者利用。十大TLD下图显示了使用的前10个TLD。总的来说,它们占了94%的子域名。其余6%分布在43个其他TLD中。子域名位置在对子域名进行地理定位时,可以考虑两个数据点。首先是基于根域名的WHOIS记录的注册人国家,尽管这也可以反映注册商的位置或域名所有者使用的隐私保护服务。另一方面,IP地理定位则精确地指出子域名解析到的IP地址的地理位置。IP解析可以通过像批量IP地理位置查询这样的工具来识别,在这种特殊情况下,它发现了1460个IP地址。下表显示了前10个注册人国家和子域名的前10个IP位置。美国位居注册人国家榜首,与其IP地理位置排名不相上下。除了美国,加拿大、法国也出现在这两个榜单上。常用的文字字串文本字符串 "com "不仅作为一个TLD,而且还出现在子域名的其他层级的显著位置,也许是为了让人们相信他们的TLD是.com,并让他们忽略其其余部分。下面的截图中用红色突出了几个例子。除了 "com "之外,其他反复出现在子域名中的词还包括 "online"、"login"、"net"、"microsoftonline"、"microsoft"、"windows"、"office"、"hostmaster "和 "duckdns"。下图显示了这些文本字符串出现的次数。与微软相关的子域解析到恶意IP地址的情况一些IP地址与多个子域相关联。在AbuseIPDB上检查了那些有35个以上连接子域的地址。这些IP地址被报告用于不同的恶意活动,包括网络钓鱼、垃圾邮件、欺诈性订单、蛮力攻击和端口扫描。共有996个子域连接到这些IP地址,因此它们是安全团队的高度优先级。这篇关于微软及其产品或服务的子域查询结果的简短研究,旨在说明监控子域作为企业域攻击面的一部分的重要性。更重要的是,这些子域不仅是微软攻击面的一部分,也是每个用户攻击面的一部分。
本文出自快速备案,转载时请注明出处及相应链接。