自治系统AS是BGP协议使用的用于标识一级ISP的编号,BGP协议通过AS编号对ISP之间的流量进行路由。
当我们需要确定两个IP地址是否属于同一个组织时,就可以依据两个IP地址所属的AS号来判断。当然,这也要看AS号对应的组织具体是什么。例如两个IP都属于一个全球一级ISP运营商,那我们得到两个IP都属于这个AS系统也并不能说明什么。而如果两个IP都属于一个相对较小的组织,IP地址与AS号的关联就显得更有意义些。比起Whois信息,AS号不会经常变动,这让AS号带来的关联数据相比Whois信息更加准确。
Ieam Cymru 是一个免费提供将 IP 地址解析为其相应 ASN 的组织网站。https://asn.cymru.com/。如下图所示,我们可以查询到前文提到的Putter Panda 恶意软件使用的 IP 地址 184.168.221.96对应的AS系统号:
被动DNS是一个被动收集DNS请求和响应信息并存储数据的DNS记录数据库。在威胁情报领域常用于分析域名与IP地址的历史解析关系,以用于对情报进行关联分析。
对于威胁分析人员来说,常用的被动DNS数据库可以参考前文内容中的微步威胁情报社区,但是新用户查询次数和内容都受到限制,因此这里推荐一些免费的被动DNS数据库:
Mnemonic https://passivedns.mnemonic.no/
RiskIQ Community (已被微软收购)
https://ti.defender.microsoft.com/search
这一课主要介绍了威胁情报的最基本形态(IP、域名、HASH等),如何关联威胁情报,以及从哪里获取这些情报的关联数据。请多多阅读后文的相关入侵案例和参考链接,以扩展思路。
原文始发于微信公众号(Desync InfoSec):第十课 收集威胁情报数据源——域名(二)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论