利用 DNS 情报缓解报税季的网络威胁

原创 已于 2025-06-06 08:56:25 修改 · 1k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全 #运维 #web安全

于 2025-06-06 08:53:32 首次发布

利用 DNS 情报缓解报税季的网络威胁

每年报税季,美国纳税人都会成为网络攻击者的目标,黑客试图拦截他们的付款并将资金据为己有。虽然报税截止日——2025年4月15日——已经过去,但申请延期的纳税人仍可在2025年10月15日前完成缴税,且不会被罚款。

不过,目前仍在持续进行的以税务为主题的网络钓鱼攻击,可能会影响尚未报税的用户。微软的网络安全研究人员识别出11个域名和1个 IP 地址为该类攻击的威胁指标(IoC)。WhoisXML API 在此基础上扩展了 IoC 列表,并发现了多个可能相关的数字足迹,包括:

  • 2 个据称的受害者 IP 记录(来自 Internet Abuse Signal Collective),归属于同一个自治系统号(ASN)

  • 153 个与电子邮件相关的域名,其中 1 个已被判定为恶意

  • 13 个附加 IP 地址,其中 11 个已出现在其他恶意活动中

  • 2 个 IP 连接域名

  • 197 个基于字符串匹配的相关域名

税务主题攻击 IoC 深度分析

我们对2025年的税务钓鱼攻击进行了深入分析。首先使用 批量 WHOIS API |轻松访问批量 WHOIS 数据 | WhoisXML API 对11个 IoC 域名进行查询,发现其中8个仍有可用的当前 WHOIS 记录。进一步分析显示:

  • 这8个域名的创建时间从2002年至2025年不等,其中2002年和2022年各1个、2024年4个、2025年2个

  • 5家注册商管理了这些域名,NiceNIC、OwnRegistrar 和 PDR 各负责2个,其余由 Digital for IT & Communications 和 WEBCC 各负责1个

  • 域名注册地分布于4个国家,美国最多(5个),其余分别注册于利比亚、马来西亚和巴基斯坦

使用 DNS 大事记 API | WhoisXML API 对这11个域名进行查询后发现,其中8个域名在历史上共出现过273次解析记录。其中,historyofpia[.]com 是最早被解析的,首次解析日期为2017年2月7日。以下是其他三个域名的历史解析详情:

IoC 域名解析次数首次解析时间
acusense[.]ae152024年2月26日
muuxxu[.]com42024年12月10日
proliforetka[.]com142025年1月31日

我们还使用 IP 地理定位API |准确的IP地址定位 | WhoisXML API 查询了唯一被标记为 IoC 的 IP 地址,结果显示该地址位于哥伦比亚,由 Telmex Colombia 运营。但对该 IP 进行的 DNS Chronicle API 查询未发现解析记录。

此外,我们还分析了 IASC 提供的 sample netflow 数据,进一步调查了命令与控制(C&C)IP 地址 181[.]49[.]105[.]59。数据显示,两条可疑的受害者 IP 记录可能归属于同一家互联网服务提供商 Energy Group Networks,且由 ASN 18779 运营。

 

IoC 扩展分析结果

了解初步 IoC 后,我们继续追踪其 DNS 关联线索。

使用 用于历史 WHOIS 数据访问和轻松集成的 API | WhoisXML API 查询11个 IoC 域名后,发现其中7个域名的历史记录中包含17个邮箱地址。其中8个为公开邮箱。我们利用 Reverse WHOIS API 对这8个公开邮箱进行回查,尽管它们未出现在当前 WHOIS 记录中,但都在历史记录中出现过。

其中2个邮箱由于与大量域名相关,可能为域名投资行为,已排除不纳入本次分析。其余6个邮箱共关联出153个域名(去重并排除原始IoC后),即为“与邮箱相关的域名”。

我们将这153个域名提交至 Threat Intelligence API 进行分析,发现其中一个域名 0913u[.]com 已被归类为通用威胁源。

我们还使用 DNS Lookup API 对11个 IoC 域名进行查询,发现其中6个仍有活动的 IP 解析,共关联13个独立的 IP 地址,这些地址与最初标记为 IoC 的 IP 并不重合。

WhoisXMLAPI
关注
[网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
杨秀璋的专栏
04-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前面三篇文章详细分享了WannaCry勒索病毒,包括病毒复现、IDA和OD逆向分析蠕虫传播、防护措施等,那么如何防护呢?所以,接下来这篇文章作者将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在错误或不足之处,还望告知,加油!
高频网络协议与编程IO相关面试基本问题和知识点整理
热门推荐
张彦峰的博客
04-07 172万+
网络IO相关基本高频面试基本问题和知识点整合
​网安学习——什么是威胁情报
xyx112的博客
05-15 3028
情报[1]:指被传递的知识或事实,是知识的激活,是运用一定的媒体,越过空间和时间传递给特定用户,解决具体问题所需要的特定知识和信息。威胁[1]的三要素包括意图、能力和机会,如果攻击者有意图有能力,但是攻击对象没有脆弱性或者说没有机会,那么攻击者并不构成威胁。因此,安全威胁情报应是在先了解自己的基础上去了解对手,即先知已后知彼。
网络DNS,域名解析系统
Yeeear的博客
09-17 2万+
现在已经不使用了(虽然仍然有效),因为网站太多了,域名和 IP 地址都有很多,靠文件来维护,就很不方便。一旦有数据变更,就需要约定以某个服务器的数据为基准,一旦有变更,就修改这个基准服务器的数据,其他服务器从基准的服务器同步数据,基准服务器称为“某个地区的 DNS 镜像可能会很出现故障(qq/wx 能上,但是网页打不开),这就是 DNS 挂了,换个其他的 DNS 服务器就可以了。域名和 IP 地址,存在着对应关系,一般是一个域名对应一个或者多个 IP,也可能是多个域名对应一个 IP。
DNS的原理介绍
石臻说AI(szzdzhp001) 【原名 石臻臻的杂货铺】
07-04 2万+
到底什么是DNS?
【计算机网络DNS解析详解
火火的博客
12-19 9136
文章目录基本概念介绍域名的解析过程DNS查询优化 基本概念介绍 根据域名服务器所起的作用, 可以把域名服务器划分为以下四种不同的类型: 根域名服务器 这是最重要的服务器,因为只要本地域名服务器无法解析, 就首先要求助于根域名服务器。 顶级域名服务器(即TLD服务器,或者说二级域名服务器) 负责管理二级域名,当他收到DNS查询请求时, 就给出相应的回答(可能是最后的结果,也可能是下一步应当找的域名服务器的IP地址) 权限域名服务器(三级域名服务器): 他是负责一个区的域名服务器。 当一个权限域名
网络安全威胁——水坑攻击
聚集机器学习、信息安全
10-28 6962
水坑攻击(Watering Hole Attack)是一种网络攻击方法,其名称来源于自然界的捕食方式。本文详细介绍了水坑攻击的概念、原理及典型案例。
预警级别的威胁情报(一)
makaisghr的专栏
07-04 2300
概述 很多人认为威胁情报只能做事后检测,这其实是不全面、不正确的。通过对黑灰产以及APT组织攻击历史数据的分析,我们可以发现其使用的IT资产存在一定的关联特征。利用这种关联特征,不仅可以提高事后检测能力,也可以提供预警能力,即对攻击者可能的发动攻击进行预警,提供可能使用的相关IT数据。 在域名方面,Passive DNS数据可以让预警情报成为可能。 Passive DNS ...
计算机网络名词解释dns_DNS名词解释
weixin_39826080的博客
12-22 9485
什么叫DNS?域名管理系统DNS(Domain Name System)是域名解析服务器的意思.它在互联网的作用是:把域名转换成网络可以识别的ip地址,在通过IP地址访问主机。比如:我们上网时输入的 www.163.com会自动转换成为202.108.9.16什么是A记录?A (Address) 记录是用来指定主机名(或域名)对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的web s...
可用的IPv6公共DNS(2025年4月更新)
The 44th Demilitarized Zone
01-24 5万+
1. 腾讯DNS:2402:4e00::2. 阿里DNS:2400:3200::1、2400:3200:baba::13. ISP(电信服务运营商)的IPv6 DNS,请以各ISP实际下发的为准,或拨打10000、10010、10086等号码询问人工客服。百度(2400:da00::6666)、下一代互联网国家工程中心(240c::6666、240c::6644)目前无法访问(查询超时,且无法ping通)。
在eNSP中利用DNS将服务器接入网络
Conan_Fate的博客
06-14 9485
1)建立如下模型 2)分别配置IP地址和DNS服务器地址 具体配置如下 3)给路由器配置相关设置(因为在之前的文章中已经具体讲过了这里就不做具体解释) 路由器具体代码: 4)给服务器server 1中修改http设置(文件根目录可以选择自己需要的地址) 5)给DNS服务器配置DNS设置 6)检测是否可以连通 ...
情报驱动的DNS安全实践-360安全DNS和域名威胁情报.pdf
08-08
情报驱动的DNS安全实践-360安全DNS和域名威胁情报 数字孪生时代下,黑白界限荡然无存。抢滩情报先机,聚合应变威胁是网安防御之关键。本视频主要介绍DNS网络威胁检测和防御中的优势、360在通过DNS数据进行网络威胁...
计算机网络实验十三:域名解析系统DNS)实验
m0_74474725的博客
05-14 4338
此时将请求Client中所设置的DNS服务器,即Local DNS Server提供域名解析服务,但根据前面的设置,该服务器中并没有所请求域名的记录,该域名包含在com域中,从NS记录中看出,应该去请求root的服务,显然,该root对应于10.2.0.2,即Root DNS Server。在authority.example.com的第四条中找到该域名,但该域名对应了一个别名server.example.com,进一步分析可知,其最终对应的IP地址为10.4.0.3,最终将该地址返回到Client中。
DNS over HTTPS(DoH):为网络隐私与安全保驾护航
weixin_70208651的博客
04-16 2877
本文将深入探讨了DNS over HTTPS(DoH)技术,阐述了其定义、工作原理、相较于传统DNS的优势、与DoT等其他DNS安全技术的协同关系、实际应用场景、面临的挑战以及未来发展趋势,旨在全面展现DoH在提升网络隐私与安全方面的重要作用。DoH是一种通过HTTPS协议来执行域名解析的技术。作为一种新兴的DNS解析技术,通过HTTPS协议加密DNS查询,有效提升了网络隐私与安全。随着技术的不断发展和应用的不断推广,DoH有望在未来成为网络安全的标配,为用户带来更加安全、可靠的互联网环境。
湖科大计网好题合集
2402_88307286的博客
11-21 166
瞎√⑧写的
PythonWebSocket开发
2509_93947499的博客
11-22 229
WebSocket就像一直保持通话状态,客服有新消息直接告诉你,这才是真正的实时通信。建议从简单例子开始,逐步增加功能,遇到问题多查文档和源码,其实没那么难搞定。当客户端连接时,handle_connection协程开始处理消息,用async for循环持续监听 incoming消息,收到后立即回复。调试技巧方面,浏览器开发者工具的Network标签页可以查看WebSocket帧,Chrome的WebSocket Inspector扩展也很好用。网络不稳定时连接可能断开,需要实现自动重连机制。
从零开始:使用 pyproject.toml 构建现代化 Python 项目
像风一样自由的博客
11-23 768
本文介绍了如何使用 pyproject.toml 构建现代化 Python 项目,以 PyImage Split 图片工具为例。相比传统分散配置方式,pyproject.toml 提供了统一、声明式的项目配置,解决了格式混乱、工具兼容性差等问题。文章详细讲解了配置文件的基本结构,包括构建系统、项目元数据、依赖管理等核心部分,并提供了完整的配置示例。通过采用这种标准化配置方式,开发者可以更高效地管理 Python 项目,提升代码质量和维护性。
ESP32基础-Socket通信 (TCP/UDP)
hazy1k的博客
11-24 797
本文介绍了在ESP32上实现Socket通信的三种主要模式:TCP服务端、TCP客户端和UDP通信。TCP服务端模式适用于设备被动接收控制指令的场景,TCP客户端模式适合主动发送数据,而UDP则用于无需连接的快速数据传输。文章提供了每种模式的完整代码示例,并强调了关键注意事项,如阻塞与非阻塞处理、端口绑定重用等常见问题。还推荐了网络调试工具NetAssist用于测试,并解释了不同通信模式的适用场景,为物联网设备开发提供了实用的网络通信解决方案。
【Linux 网络基础】网络通信中的组播与广播:基础概念、原理、抓包与应用
最新发布
love131452098的博客
11-24 581
摘要: 组播(Multicast)和广播(Broadcast)是网络通信中两种重要的数据传输机制。组播面向特定订阅组(IPv4 224.0.0.0/4,IPv6 ff00::/8),通过IGMP/PIM协议实现成员管理和路由分发,适用于视频会议、股票行情推送等场景;广播则在同一二层域内泛洪(MAC ff:ff:ff:ff:ff:ff),用于ARP、DHCP等协议。关键配置包括交换机IGMP Snooping、路由器PIM-SSM/Storm Control,并需注意TTL、防火墙策略。常见问题包括组播丢包(
dns和威胁情报结合是怎么使用的
09-26
DNS 和威胁情报结合可用于网络安全防护,提高对网络威胁的检测和防御能力。 在威胁情报应用中,可将 DNS 流量数据与威胁情报集成。收集相关威胁情报,包括攻击手法、漏洞情报等,对捕获的 DNS 网络流量进行预处理和威胁情报集成。利用 IP 信誉分析和异常行为检测技术,结合 DNS 流量特征,发现攻击流量并进行有效拦截。例如,若威胁情报显示某 IP 为恶意 IP,当 DNS 查询请求涉及该 IP 时,可及时阻止。 还可基于威胁情报构建 DNS 黑名单和白名单。威胁情报包含已知恶意 IP、域名、文件等信息,将这些信息与 DNS 解析关联。当 DNS 查询的域名在黑名单中,直接拒绝解析;若在白名单中,可优先快速解析。 也可通过分析 DNS 流量中的异常模式来发现潜在威胁。利用关联融合、时间序列、流数据技术等从海量 DNS 网络信息中提取威胁特征,有助于威胁情报的横向和纵向关联分析;使用聚类分析、协同推荐、跨界数据融合等技术深度挖掘多维线索之间隐藏的内在联系,对 DNS 系统的整体威胁态势进行行为建模与精准描述。例如,检测到 DNS 请求频率异常高、请求的域名格式异常等情况,结合威胁情报判断是否为攻击行为。 示例代码(Python 简单模拟判断 DNS 查询域名是否在黑名单): ```python # 模拟威胁情报中的黑名单 blacklist = ["maliciousdomain1.com", "maliciousdomain2.com"] def dns_query_with_blacklist(domain): if domain in blacklist: print(f"拒绝解析 {domain},该域名在黑名单中") return None else: try: import socket ip = socket.gethostbyname(domain) return ip except socket.gaierror: return None domain = "maliciousdomain1.com" ip = dns_query_with_blacklist(domain) if ip: print(f"The IP address of {domain} is {ip}") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值