Author：elknot@360corpsec

0x01 写在前面

这个文章不要被标题蒙骗了，可能不会是一个系列，只是分享一些平时威胁情报引用的小trick。看懂这篇文章不一定需要多强的渗透能力和漏洞挖掘能力，只需要细心、耐心和对数据敏感即可，因为情报应用本身就不是一个技术含量多高的事儿。
威胁情报这个东西和态势感知一样，很多人认为这个东西实际上是没什么太大的作用，但是事实上说这些的人我可以肯定10个里面至少有9个都是做安全做的非常牛逼的人，这个是毋庸置疑的。所以想借此文来科普一下威胁情报如何在日常安全运营中产生应用的价值。正值现在手头被一些钓鱼网站的事儿缠着，所以先来说说钓鱼网站那些事儿吧

0x02 钓鱼网站的感知

钓鱼网站的感知实际上不太好感知，我们不妨先来理一下钓鱼网站感知的发展过程。如果对钓鱼网站有了解的童鞋请跳过下面三段直接看后面。
原始社会：这个时候安全的概念基本上都没有，更何况对于钓鱼网站呢，在当时那种时候钓鱼网站基本上可感知程度为0，原因其实是多方面的，首先当时网络安全本身就是荒地，大家都没人重视，很多开发大哥至今现在都有这种想法（不就是个假冒登陆的页面么，我一小时给你写五个，而且换个Logo就能用，怎么样，牛逼吧），除此之外有些受害者出于自身面子等一系列问题，不愿意承认自己被钓鱼网站骗了，这是两个主要的非技术原因。至于技术原因嘛，自然是监控能力发展的不够高级，而且数据这个玩意儿当时没人会和安全扯上关系（要知道数据驱动安全的概念是最近五年才人尽皆知的），所以这个时候，成功被钓鱼的人出于面子不愿意说，钓鱼模仿的业务提供商完全检测不到，一个愿打一个愿挨，所以这个时候并没有什么好的方法检测。
初级阶段：这个时候安全监测能力上来了点，同时做钓鱼网站的人也想到了为啥不多干点坏事，于是客户因为遭受了巨额的经济损失，外加企业越来越重视客户服务这一块（早年的客服都是大爷），所以便有了渠道，再加上法制的逐渐建全，这个时候会去发现一些，但是还是比较有限，基本上一年也就不超过10个，而且拿过来基本上就是让上面封禁，所以能解决部分问题。
上面说的就是两个比较老的情况，现在由于SRC等多方面安全应急响应渠道的建立，加上网络安全已经名副其实的变成了风口上的猪、网络安全法的立法等众所周知的诸多原因，网络安全现在变成了一个扫大街的大妈都能跟你侃两句现在网络多不安全的程度。根据2017年的多份报告显示，以BEC为主的钓鱼攻击已经占据了EMEA、APAC等大区最高的攻击类型的份额。所以现在对于钓鱼网站的检测方式确实是占到了一个前所未有的高度。
废话说的有点太多了，如果不需要科普的，以上部分可以跳过。
首先钓鱼网站的一个lifecycle是下面这个样子的：

首先钓鱼网站的团队先会评估一个要冒充网站的各种安全指标，当然他们内部有自己的标准，因为曾经卧底过一个钓鱼团伙，最后发现他们主要还是看钱和目标的安全能力，其他的我就不多说了。评估完一个目标之后就开始了钓鱼网站的制作，除了coding之外，这些人还会去侦查目标的资产、注册一批和目标使用资产相似度很高的假冒域名（后面会说怎么去识别这些域名）、购买服务器、测试域名绑定、上线代码，这样的话就基本上完成了一个制作的步骤。这一部分完成了之后就是分发，分发有很多种渠道，最常用的是垃圾邮件群发，短信群发、伪基站、论坛域名，不乏有艺高人胆大的直接劫持（风险太大，想进去的可以尝试，目前稍微有点价值的目标都能对劫持实时发现，100%被抓）或者是DNS投毒。发布完了之后就坐等上钩了，当第一个人发现这个网站的时候，根据病毒的传播原理，很有可能很多人都已经上当了，这个时候及时封禁了，钓鱼团伙一样是可以有实打实的利益的。
那么现在基本上问题就已经显而易见了，我们要保证尽可能的减小因为钓鱼产生的经济损失，理想情况下可以按照以下几个策略去执行：

1. 实时监控全网的钓鱼邮件相关的资产比如域名、IDC、页面等
2. 同时监测有谁访问了这些域名
3. 建立及时有效的机制来停止对这些域名的解析
4. 强大的反套路能力查到是谁干的这件事和动机

那么好，我们现在有了这些目标了，就应该去拆解一下目标为一个一个的关键数据。
首先实时监控全网钓鱼邮件的资产，资产这件事情其实有很多种方法检测，由于钓鱼攻击独特的特点，从域名下手是较为有效的，首先一般钓鱼的域名有这么几种：

• 相似度极高的域名比如：a1ibaba-1nc.com、tecnent.com这种
• 域名无关但是host名有关系的比如：www-qq-com.12345.org
• 域名无关同时host也无关，但是url有关的比如：test.1234.org/alibaba-inc.com/index.jsp
• 域名、host、url均无关但是页面内容和钓鱼有关系的
• 其他的直观看上去很像的，比如xn-12232232321.net

这样的话我们就有了需要监控的目标和所用的技术，域名、变形域名和host这三个数据可以通过威胁情报的网络活动heatmap和pdns被动dns解析数据来解决，url的话可以通过webcache或者是archive.org这种可以查看历史页面缓存的数据来解决，至于页面看上去很像的，可以上个ML了。这样的话第一个问题就可以解决了。
针对监测访问域名这个问题，可能就需要使用威胁情报数据里面的历史DNS数据、套接字数据和大网数据来分析访问情况（情报数据里面PDNS和大网数据可以解决很多问题），因为历史DNS解析数据可以看到域名解析次数，大致可以判断一个受影响情况，大网数据则可以看到哪些IP访问了这个服务器，插一句，这些数据绝大多数的时候是要钱的，不想花钱的话建议放弃或者刷脸，放弃是第一选择，这样第二个问题也就解决了。
至于第三个问题就是人的问题了，团队应急响应速度是不是及时，有没有跟上面沟通的渠道，上面会不会给你办，这些问题就是一个考验团队素质的问题，比如说推一个漏洞修复都推不下去的团队估计干这件事儿，有点问题了，这个应该是leader考虑的问题了。
第四个问题嘛，还是那句话，有钱可以专门买服务去查这件事儿，没钱的话，手头有足够多的人脉和数据也能干这件事儿，虽然数据也是要钱和精力的。至于都没有，都没有还溯源？别做梦了。

0x03 来个case

其实这个case是上个月在帮助某大佬追一个appleid钓鱼的时候意外发现的，首先我们需要去查一下这个域名的whois信息嘛这个大家都懂，但是呢，你查到的信息绝大多数下都是这种乱填的。

要么就是这种：

可见网络安全意识增长的有时候不仅仅是普通人，连干黑产的也跟着长本事。不过我们有PDNS数据啊，我们可以看他之前的信息啊。得意.jpg。

所以PDNS这些数据还是能查到一些的，但是这样只解决了一个问题，至于社工什么的就留给各位大佬们去讨论了，在这里我只谈情报的运用。
这个时候我会考虑去查一下他还注册了那些域名，结果一查，发现了一堆好玩的东西。

这个域名居然还在解析，，，我猜可能是没有发现，于是乎再一次手贱点了下，发现，，，大大的一个403 forbidden。

根据我的推算，我觉得有可能是他正在测试，于是乎上了archive.org查看了下webcache，发现n天都是403，再结合threatcrowd的分析和一些大网上的来看，我觉得他应该是在调试，并没有真正的上线，后面通过某些不太和谐的手段（你懂得），发现，这网站本质上是个菠菜，然后不知道挂了个什么钓鱼的目录，但是有权限而且没有页面，由于场面过于血腥和不和谐，所以这里只有文字性描述，还请见谅。
这样的话，有关部门应该注意一下了

0x04 summary

由于某些众所周知的原因，不能跟大家分享更多的数据，实际上最后我是找到了这个人，但是结果很戏剧，首先这哥们自己也不知道自己的“业务系统”被人挂了钓鱼网站，其次，这哥们都不知道钓鱼网站是个啥。所以呢，，就没有然后了。
这篇文章其实写的很简单，但是呢希望可以向大家介绍一下威胁情报结合具体事件分析时候会有一些作用，另外，威胁情报这东西是一个积累数据的东西，本质上是大数据技术在网络安全方向的应用，所以呢数据越多越陈，越有用，如果你能搞到82年之后所有的PDNS数据，这些数据还是值不少钱的。

就这样吧。