T1596-002-搜索开放的技术数据库-WHOIS
来自ATT&CK的描述
攻击者可以在WHOIS公开数据中搜索受害者使用的目标信息。WHOIS数据由负责分配和分配域名等Internet资源的区域Internet注册表(RIR)存储。任何人都可以查询WHOIS服务器以获取有关注册域的信息,例如分配的IP地址,联系信息和DNS名称服务器。
攻击者可以搜索WHOIS数据用以收集可行的信息。威胁行动者可以使用在线资源或命令行实用程序通过WHOIS数据进行掠夺,以获取有关潜在受害者的信息。这些来源提供的信息可能会提供其他形式的侦察机会(例如:主动扫描或网络钓鱼),建立运营资源(例如:获取基础设施或破坏基础设施)或初始访问(例如:外部远程服务或信任关系)。
测试案例
whois(读作“Who is”,非缩写)是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商)。通过whois来实现对域名信息的查询。
网站查询
- 域名Whois查询 - 站长之家
- Whois 爱站
- ip138
- 域名信息查询 - 腾讯云
- nicolasbouliane
- 新网 whois信息查询
- IP WHOIS查询 - 站长工具
- 微步在线
- Bugscaner
工具查询
在命令行输入whosi+域名
使用Nmap查询,使用这个方法还可以爆出目标的端口号开启与否:nmap --script=whois-domain +域名
检测日志
无
测试复现
无
测试留痕
无
检测规则/思路
无
建议
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
参考推荐
MITRE-ATT&CK-T1596-002
https://attack.mitre.org/techniques/T1596/002/
Whois信息收集及利用方式
https://blog.csdn.net/m0_48520508/article/details/107301211
whois查询.白帽与安全