威胁情报挖掘思路
(一)
PART.1
缘起之时
在发现在edu中新增了两个网安总队收安全情报等漏洞,那威胁情报又会包含哪些内容呢?以前或许会看到各种ss网站、bc网站、yx网站满天飞,那么他们又是如何发生的呢?
在收集过程中,发现很多都是证书过期、DNS解析存在问题,基本上一个主域名下的子域名都会被跳转到不同的恶意网站中。
那我们基本了解一下证书过期、DNS解析会产生的原因吧,如果一个网站使用的SSL/TLS 证书存在问题,比如过期、自签名或者与域名不匹配,就会导致用户对网站的信任度降低,这样一来就会增加了被劫持的风险;DNS解析是域名在解析为IP地址的服务过程中,如果DNS服务器存在漏洞会被攻击,就可能导致域名解析结果被篡改,使得访问者被重定向到恶意网站中。
下面就以不同的安全情报来进行讲解:
PART.2
第一种:完全劫持
整个IP都被恶意网站劫持,这种网站也是最容易找寻的,基本上对着bc、ss、yx这些关键词去查找就可以收集的到
web.title="xxxx"
我们非常高兴地宣布,我们的动漫社即将开始新一轮的招新活动!无论你是热爱日系动漫、美系动漫,还是对动漫艺术有深入研究的你,我们都热烈欢迎你加入我们的大家庭。
PART.3
第二种:只劫持域名
域名被劫持,虽然会解析到不同的IP上,但显示的内容却是一致的
就比如下面这个很难看出来它是被劫持的,因为太正常了,没有传说中的ss这些,但一想这是事业单位,怎么可能还给你算命和十二星座呢,如果你仔细看,这些IP大都都显示是境外、香港的,不属于国内
题外话:上面刚讲到算命,然后就冒出一个街流子非得证明一下我是错的,打脸来的真快
如果从事情报工作或者企业漏洞挖掘过程中,我们又该如何应对呢?方法肯定是一样的,比如就找dy关键词,就可以发现很多icon,此时就可以根据icon或者title进行深入挖掘。
那么除了dy、ss、ty、bc还有什么关键词是可以考虑的呢?换个更巧妙的思路,直接用左边的国家 不就来的更快吗?
ip.country="xxx"
可以在hunter中点击域名详情,查看域名是否在备案中,如果不在备案中,域名过期了被劫持了那就没法收的,一会下面再演示一种域名过期的
像这种的域名被劫持了,又是备案过期了,就不能再归属到该单位了,尤其不能用站长之家或者其他这种备案网站,因为这里面存在域名未及时更新的情况,虽然还会归属到该单位,但工信部备案就不存在了
PART.4
第三种:假装你看不见我
第二种:域名被劫持,虽然会解析到不同的IP上,但显示的内容却是一致的
web.body="xxxx"
这种劫持一般出现的原因有以下几点:
XSS(跨站脚本)攻击:攻击者在网站中注入恶意脚本,当受害者访问该网站时,恶意脚本被执行,从而篡改网页内容。这可能导致 title、header 等关键部分被替换为黄色或垃圾信息。
CSS(层叠样式表)篡改:攻击者可能通过修改网站的 CSS 文件或使用内联样式,将特定的颜色、背景等样式应用到 title、header 等元素上,使其显示为黄色或垃圾信息。
服务器端篡改:攻击者可能通过获取服务器权限,直接修改网站源代码,将 title、header 等内容替换为黄色或垃圾信息。
中间人攻击(MITM):攻击者在受害者和网站之间建立一个中间节点,截获并篡改双方的通信数据。这样,受害者访问的网站内容可能被替换为攻击者指定的黄色或垃圾信息。
下面就以例子看一下
1、你看不见我,我就是真的
作为一个中国好青年,这么耀眼的党的十九大精神,怎么会觉得有问题呢?妥妥的政府网站,实打实的良好网站!
但我就是不一样,我就是得做点妖,当时把我惊得都不敢相信!
2、你真的看不见我,我闷声发大财
没有标题,没有标签,我起初也是靠着上面的文字去查找,结果发现原来你是张图片!
这不就又是一个通用吗
第四种:满山的猴子我腚最红
刚发现的时候我以为是哪个网站未授权呢,泄露了这么多url,结果等加载完,好家伙,你是个大毒瘤!!!
Src学员投稿
添加客服小姐姐VX加入网安交流群
原文始发于微信公众号(隐雾安全):实战:威胁情报挖掘思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论