借助 DNS 数据解析 BlackSuit 勒索软件网络

原创 已于 2024-10-27 10:01:53 修改 · 707 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全 #服务器

于 2024-10-27 09:26:47 首次发布

在 2024 年 4 月 10 日,攻击者发起了一场 BlackSuit 勒索软件攻击,导致近 100 万人的信息被窃取并曝光,包括受害者的社会安全号码、生日和保险索赔信息。数据泄露通知于 8 月底发送,8 月 27 日,美国网络安全与基础设施安全局 (CISA) 更新了 BlackSuit 勒索软件警告,并在最新的 STIX 文件中列出了 91 个入侵指示 (IoCs),包括 14 个域名、五个子域和 72 个 IP 地址。CISA 还指出,BlackSuit 是 Royal 勒索软件的重命名版本,此前该组织曾攻击医疗机构并要求 25 万至 200 万美元的赎金。

WhoisXML API 研究团队基于这些网络资源扩展了 IoC 列表并发现了相关威胁工件。分析结果如下:

  • 112 个与邮箱关联的域名
  • 10 个额外的 IP 地址,其中五个被发现是恶意的
  • 21 个与 IP 关联的域名
  • 137 个与字符串关联的域名

https://main.whoisxmlapi.com/threat-reports/stripping-down-the-blacksuit-ransomware-network-aided-by-dns-data?mc=circleid

BlackSuit IoCs 的相关发现

为进一步了解已公布的 IoCs,研究团队对这 15 个域名(包括 14 个 IoC 域名和一个从子域 IoC 中提取的域名)进行了 Bulk WHOIS 查询,结果显示,其中一个 IoC 域名缺乏当前的 WHOIS 数据而被排除。

部分域名 IoC 的注册分布如下:

  • Namecheap, Inc. 注册了四个域名;GANDI SAS 注册了两个域名;其他注册商包括 NiceNIC International Group Co. Limited、Free Spirit Domains LLC、Slow Motion Domains LLC、GoDaddy.com LLC 等

  • 此外,大部分域名 IoC 注册在 2024 年,共七个;2023 年注册的有四个,其他则分别注册于 2010 年、2021 年和 2022 年。
  • 域名 IoC 的国家分布则集中在美国(九个域名)和冰岛(两个域名),马来西亚和圣基茨和尼维斯各一个。

  • 对于标识为 IoC 的 72 个 IP 地址,地理位置分布在 29 个国家,主要集中在美国(24 个 IP 地址)、阿尔及利亚(七个)、俄罗斯(五个)和摩洛哥(四个)。

  • 部分 IP 地址的服务提供商包括 The Constant Company 和阿尔及利亚电信,各管理了七个 IP 地址。
挖掘潜在的 BlackSuit 勒索软件威胁工件

为了主动寻找与 BlackSuit 相关的潜在威胁,研究团队使用 WHOIS 历史 API 查询了 14 个 IoC 域名和一个子域 IoC 根域,发现历史 WHOIS 记录中共有 31 个电子邮件地址,其中五个为公共邮箱。

API for historical WHOIS data access and easy integration | WhoisXML API

通过这五个公共邮箱,反向 WHOIS 查询结果揭示了 112 个邮箱关联的域名。

https://zh.reverse-whois.whoisxmlapi.com/api

随后,我们对这 14 个域名 IoC 和五个子域 IoC 进行了 DNS 查询,结果发现,其中四个没有活跃的 IP 解析,其余 15 个则解析到原 IoC 列表中未包含的 10 个 IP 地址。

WhoisXMLAPI
关注
如何查看网站DNS解析记录及历史DNS记录:从基础到网络安全应用
盾悟
07-24 1万+
本文介绍了DNS查询与分析的完整流程,分为三个核心部分:1. 查询当前DNS记录:使用nslookup/dig命令行工具或MXToolbox等在线平台,可获取A、MX、TXT等关键记录类型,注意DNS缓存和TTL影响;2. 追溯历史DNS记录:通过SecurityTrails等工具分析域名解析变化时间线,对网络取证和威胁分析至关重要;3. 结合威胁情报平台:利用VirusTotal、Shodan等检测DNS记录与恶意活动的关联。文章还提供了逻辑原理图,强调自动化监控和API集成的重要性,最后给出优化建议,包
网络DNS,域名解析系统
热门推荐
Yeeear的博客
09-17 2万+
现在已经不使用了(虽然仍然有效),因为网站太多了,域名和 IP 地址都有很多,靠文件来维护,就很不方便。一旦有数据变更,就需要约定以某个服务器数据为基准,一旦有变更,就修改这个基准服务器数据,其他服务器从基准的服务器同步数据,基准服务器称为“某个地区的 DNS 镜像可能会很出现故障(qq/wx 能上,但是网页打不开),这就是 DNS 挂了,换个其他的 DNS 服务器就可以了。域名和 IP 地址,存在着对应关系,一般是一个域名对应一个或者多个 IP,也可能是多个域名对应一个 IP。
【计算机网络DNS解析详解
火火的博客
12-19 9136
文章目录基本概念介绍域名的解析过程DNS查询优化 基本概念介绍 根据域名服务器所起的作用, 可以把域名服务器划分为以下四种不同的类型: 根域名服务器 这是最重要的服务器,因为只要本地域名服务器无法解析, 就首先要求助于根域名服务器。 顶级域名服务器(即TLD服务器,或者说二级域名服务器) 负责管理二级域名,当他收到DNS查询请求时, 就给出相应的回答(可能是最后的结果,也可能是下一步应当找的域名服务器的IP地址) 权限域名服务器(三级域名服务器): 他是负责一个区的域名服务器。 当一个权限域名
DNS域名解析过程剖析
m0_52012606的博客
07-19 4577
第三步如果本地也没有配置那么就会根据向本机配置的本地区DNS域名服务器(LDNS)发起请求,如果你是通过学校连接互联网的一般是你学校的DNS服务器,如果你是在小区连接互联网的一般是网络提供商比如电信,联通的DNS服务器DNS服务器通常不会太远。第七步gLTD服务器查询并返回域名对应的NameServer域名服务器的地址,通常是你注册的域名服务器,例如你在某个域名服务器提供商申请的域名,那么这个域名解析任务就由这个域名服务提供商来完成。第二步如果浏览器缓存没有,那么就检查操作系统的hosts文件。...
计算机网络——域名解析DNS服务
庄小焱
11-14 3979
本博文主要介绍DNS域名解析DNS软件相关知识和原理,帮助大家在理解计算机网络中的域名解析服务原理。同时也展示DNS软件bind的配置与实战,供大家参考学习。
计算机网络 DNS解析命令汇总
baiiu
07-09 1万+
前言 本文参考倪朋飞老师的DNS 解析时快时慢,该怎么办文章,结合 DNS服务介绍和ICMP协议 ping和traceroute介绍这两篇文章,能对DNS从理论到具体解析流程有个理解。 DNS各种命令介绍 DNS 协议在 TCP/IP 栈中属于应用层,不过实际传输还是基于 UDP 或者 TCP 协议(UDP 居多) ,并且域名服务器一般监听在端口 53 上。 DNS 服务通过资源记录的方式,来管理所有数据,它支持 A、CNAME、MX、NS、PTR 等多种类型的记录。 参考DNS各项记录: A 记录
DNS 域名解析
飞鱼的博客
02-25 5447
域名是互联网上某一台计算机或计算机组的名称。域名可以说是一个 IP 地址的代称,目的是为了便于记忆。 通过阅读本篇文章,你可以了解到: 1、域名的结构; 2、域名的解析过程; 3、记录类型(A记录、CNAME记录 等) 4、域名的应用
【知识科普】DNS(域名解析服务)深入解读
wendao76的专栏
12-09 7590
域名解析是把域名指向网站空间IP地址,让人们通过注册的域名可以方便地访问到网站的一种服务。DNS配置文件的格式和内容因操作系统和DNS软件的不同而有所差异。在配置DNS时,应参考相应操作系统和DNS软件的官方文档或指南,以确保正确配置DNS服务器并满足网络需求。
DNS域名解析协议详解
weixin_57023347的博客
10-18 3997
DNS技术 DNS是一整套从域名映射到IP的系统。 一.背景 TCP/IP协议使用IP地址和端口号来确认网络上的一台主机的一个程序。但是IP地址和端口号不方便人们记忆。于是人们发明了域名,是一串字符串,并且使用host文件来保存主机名和IP地址之间的映射关系。 最初,是通过互联网信息中心(SRI-NIC)来管理这个文件,host文件保存在本地。 如果一个新计算机要接入网络或者某个计算机的IP变更,都需要到信息中心申请变更host文件 ...
计算机网络实验十三:域名解析系统(DNS)实验
m0_74474725的博客
05-14 4338
此时将请求Client中所设置的DNS服务器,即Local DNS Server提供域名解析服务,但根据前面的设置,该服务器中并没有所请求域名的记录,该域名包含在com域中,从NS记录中看出,应该去请求root的服务,显然,该root对应于10.2.0.2,即Root DNS Server。在authority.example.com的第四条中找到该域名,但该域名对应了一个别名server.example.com,进一步分析可知,其最终对应的IP地址为10.4.0.3,最终将该地址返回到Client中。
网络学习(二)DNS域名解析原理、DNS记录
ACGkaka的博客
06-10 1995
网络学习(二)DNS域名解析原理、DNS记录
【域名解析】什么是域名解析?域名解析的完整流程是什么?如何清理DNS缓存?(附源码)
dvlinker的技术专栏
04-27 1万+
本文介绍如何进行域名解析以及如何清理系统DNS缓存,并给出了相关源码实现。
湖科大计网好题合集
2402_88307286的博客
11-21 166
瞎√⑧写的
PythonWebSocket开发
2509_93947499的博客
11-22 229
而WebSocket就像一直保持通话状态,客服有新消息直接告诉你,这才是真正的实时通信。建议从简单例子开始,逐步增加功能,遇到问题多查文档和源码,其实没那么难搞定。当客户端连接时,handle_connection协程开始处理消息,用async for循环持续监听 incoming消息,收到后立即回复。调试技巧方面,浏览器开发者工具的Network标签页可以查看WebSocket帧,Chrome的WebSocket Inspector扩展也很好用。网络不稳定时连接可能断开,需要实现自动重连机制。
从零开始:使用 pyproject.toml 构建现代化 Python 项目
像风一样自由的博客
11-23 768
本文介绍了如何使用 pyproject.toml 构建现代化 Python 项目,以 PyImage Split 图片工具为例。相比传统分散配置方式,pyproject.toml 提供了统一、声明式的项目配置,解决了格式混乱、工具兼容性差等问题。文章详细讲解了配置文件的基本结构,包括构建系统、项目元数据、依赖管理等核心部分,并提供了完整的配置示例。通过采用这种标准化配置方式,开发者可以更高效地管理 Python 项目,提升代码质量和维护性。
ESP32基础-Socket通信 (TCP/UDP)
hazy1k的博客
11-24 797
本文介绍了在ESP32上实现Socket通信的三种主要模式:TCP服务端、TCP客户端和UDP通信。TCP服务端模式适用于设备被动接收控制指令的场景,TCP客户端模式适合主动发送数据,而UDP则用于无需连接的快速数据传输。文章提供了每种模式的完整代码示例,并强调了关键注意事项,如阻塞与非阻塞处理、端口绑定重用等常见问题。还推荐了网络调试工具NetAssist用于测试,并解释了不同通信模式的适用场景,为物联网设备开发提供了实用的网络通信解决方案。
【Linux 网络基础】网络通信中的组播与广播:基础概念、原理、抓包与应用
最新发布
love131452098的博客
11-24 581
摘要: 组播(Multicast)和广播(Broadcast)是网络通信中两种重要的数据传输机制。组播面向特定订阅组(IPv4 224.0.0.0/4,IPv6 ff00::/8),通过IGMP/PIM协议实现成员管理和路由分发,适用于视频会议、股票行情推送等场景;广播则在同一二层域内泛洪(MAC ff:ff:ff:ff:ff:ff),用于ARP、DHCP等协议。关键配置包括交换机IGMP Snooping、路由器PIM-SSM/Storm Control,并需注意TTL、防火墙策略。常见问题包括组播丢包(
TCP网络编程(简易回声客户端):客户端创建、连接、请求及测试全流程解析
祯的博客
11-23 652
本文围绕TCP网络编程中客户端相关操作展开。先阐述客户端套接字创建,对比其与服务端创建的异同,并给出TCP客户端类实现代码。接着介绍客户端连接服务器流程,说明无需显式绑定的原因及connect函数用法,展示类中连接服务器的实现。然后讲述客户端发起请求,以简单回声服务器为例说明数据收发。最后说明服务器测试步骤,包括启动服务端检查状态、客户端连接及通信验证,还提及客户端断开连接时服务端的处理。
量子网络:开启超高速信息传输的未来
2501_94179948的博客
11-21 1001
量子网络是利用量子力学的原理来进行数据传输的网络系统。与传统网络依赖经典物理原理不同,量子网络依靠量子叠加、量子纠缠等现象进行信息传递,这些特性使得量子网络在速度、效率、以及安全性方面具有无与伦比的优势。量子网络作为量子计算和量子通信的结合体,正在以其超高速、超安全的特性,推动着全球信息技术的发展。从超高速通信到量子云计算,再到量子经济的构建,量子网络的应用前景不可限量。虽然目前仍面临技术挑战,但随着量子技术的不断进步,我们有理由相信,量子网络将在未来几十年内迎来广泛应用,成为构建未来信息社会的重要基石。
全面解析DNS记录与网络参数获取工具教程
在当前的网络环境中,域名服务解析查看工具(DNS查看工具)是IT专业人士不可或缺的工具之一。该工具帮助用户查看和诊断域名系统的相关信息,它通常涉及到一系列关于DNS的知识点,包括但不限于DNS的工作原理以及DNS...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值