BashiruDamoah/THREAT-INTELLIGENCE-ANALYSIS-USING-OPEN-SOURCE-INTELLIGENCE-AND-VIRUSTOTAL

# 使用开源情报和 VirusTotal 进行威胁情报分析 利用 OSINT 技术和 VirusTotal 对可疑域名进行实用的网络威胁情报调查。 # 使用 OSINT 和 VirusTotal 对可疑网络基础设施进行实用威胁情报分析 一项结构化的网络威胁情报调查，使用开源情报（OSINT）技术进行，旨在分析一个涉嫌与钓鱼或恶意软件相关网络基础设施有关联的可疑域名。 ## 概述 本项目展示了一次完全使用被动 OSINT 方法执行的实用威胁情报调查。目标是确定一个可疑域名是否构成了恶意网络基础设施的一部分，识别相关的子域名和 IP 地址，并评估其对组织构成的潜在威胁级别。 所有分析均在没有主动入侵、未经授权的扫描或任何形式的利用的情况下进行。 ## 使用的工具 - **VirusTotal** — 用于域名信誉、DNS 记录、SSL 证书、子域名枚举和关系图谱分析的主要情报平台 - **WHOIS 查询** — 域名注册和所有权数据 - **VirusTotal Graph** — 基础设施关系可视化 ## 调查方法 调查遵循了结构化的分步工作流程： ### 步骤 1 — 识别种子指标 一个可疑域名（`mzansipay.com`）被确定为调查的起点。该域名被怀疑与针对金融组织的钓鱼或恶意软件分发活动有关。 ### 步骤 2 — 域名信誉分析 该域名被提交至 VirusTotal 进行信誉分析。结果显示，**93 家安全厂商中的 11 家**将该域名标记为恶意或与钓鱼活动相关。包括 Sophos、SOCRadar、Seclookup、Phishing Database 和 Lionic 在内的厂商都返回了针对钓鱼或恶意软件的阳性检测结果。 ### 步骤 3 — DNS 和托管基础设施分析 从 VirusTotal 检索 DNS 记录以确定： - 该域名解析到的 IP 地址（`41.185.8.219`） - 与该域名关联的邮件交换（MX）服务器 - 指向 `linus.ns.1.gnd.co.za` 及相关主机的名称服务器（NS） - 确认托管配置的 SOA 记录 这表明该域名托管在集中式基础设施上，这是一种在有组织的钓鱼行动中常见的模式。 ### 步骤 4 — WHOIS 查询 执行了 WHOIS 查询以收集域名注册数据，包括： - **域名：** mzansipay.com - **创建日期：** 2020-05-16 - **注册商：** Hosting Concepts B.V. d/b/a Registrar.eu - **域名状态：** pendingTransfer - **管理员详情：** 因隐私而被隐去 发现该域名自 2020 年以来一直处于活跃状态，表明其具有持续的长期使用情况，而非短暂的抛弃型域名。 ### 步骤 5 — SSL 证书调查 检查了历史 HTTPS 证书记录。SSL 证书显示： - 证书颁发者：**Let's Encrypt Authority X3** - 多个证书主体，包括 `www.admin.bruweb21.cpt.we.co.za` 和 `t.eko.co.za` - 用于取证追踪的证书指纹和特征码 - 确认多年来持续托管活动的有效期 跨多个域名主体重复使用证书，是恶意活动中常用的共享托管基础设施的一个强烈指标。 ### 步骤 6 — 子域名枚举 VirusTotal 识别出与所调查域名相关的多个子域名，包括： - `www.admin.bruweb21.cpt.we.co.za` - `t.eko.co.za` - `adcosber.co.za` - `7.adcosber.co.za` - `t.adcosber.co.za` 存在多个运营子域名表明该基础设施同时支持多项服务，这常见于提供不同活动页面或邮件系统的钓鱼托管环境中。 ### 步骤 7 — 基础设施关系图谱分析 使用 VirusTotal 图谱工具来可视化域名、其 IP 解析、SSL 证书和子域名之间的关系。图谱显示： - 连接到该域名的多个 IP 解析节点 - 跨多个域名共享的历史 SSL 证书节点 - 链接到中心域名的子域名集群 - 中心节点上可见的 11/93 检出率 这一可视化结果证实，该域名并非一个孤立的系统，而是更广泛的互连数字基础设施的一部分。 ## 调查结果摘要 | 指标 | 发现 | |---|---| | 安全厂商检出数 | 93 家厂商中有 11 家标记为恶意 | | IP 地址 | 41.185.8.219（集中式托管） | | 域名年龄 | 自 2020 年 5 月起处于活跃状态 | | 发现的子域名 | 识别出多个运营子域名 | | SSL 证书历史记录 | 证实多年来持续托管 | | 基础设施关系 | 链接到多个域名和 IP 地址 | | 威胁分类 | 钓鱼 / 恶意软件分发 | ## 威胁评估 基于收集到的 OSINT 证据，所调查的域名表现出与钓鱼或恶意软件投递活动一致的特征。多个安全厂商的检出、持久的基础设施、运营子域名以及互连的关系图谱，这些因素结合在一起表明该域名是**有组织的恶意活动**的一部分，而不是一个孤立的事件。 **威胁严重程度：高风险** 潜在的攻击目标包括： - 凭据收集 - 钓鱼页面托管 - 恶意文件分发 - 针对组织的金融欺诈 ## 安全建议 组织可以通过实施以下措施来减少暴露于类似威胁的风险： - 部署高级邮件过滤以拦截钓鱼域名 - 使用威胁情报源实施域名信誉监控 - 在所有敏感系统上强制执行多因素身份验证（MFA） - 定期为员工进行网络安全意识培训 - 监控与可疑基础设施建立连接的 DNS 查询 - 维护最新的恶意域名黑名单 - 将威胁情报平台集成到事件响应工作流中 ## 关键要点 本次调查表明，使用诸如 VirusTotal 等公开可用工具的被动 OSINT 技术，可以有效地发现可疑的网络基础设施、追踪攻击者模式并评估威胁严重程度——所有这些都不需要执行任何主动入侵或未经授权的访问。 主动的威胁情报监控对于现代网络安全防御至关重要。 *本次调查仅使用被动 OSINT 方法进行。未执行任何主动利用或未经授权的访问。*

标签：Ask搜索, ESC4, OSINT, VirusTotal, 域名信誉分析, 威胁情报, 开发者工具