DomainTools新Web服務(wù)合并了DNS搜索工具

隨著惡意軟件和攻擊指標(biāo)的泛濫，安全分析師需要訪問更多的自動化系統(tǒng)，否則就有被可疑活動淹沒的風(fēng)險。

最新消息來自DomainTools，這是一個流行的域名和DNS研究服務(wù)，它上周推出了新的Iris網(wǎng)站，幫助安全團(tuán)隊快速調(diào)查攻擊指標(biāo)。

這家位于西雅圖的公司擁有一個龐大的Whois數(shù)據(jù)庫，其中包括所有國際頂級域名的數(shù)據(jù)，以及供分析人員使用的其他有用信息。到目前為止，客戶使用api將其數(shù)據(jù)集引入到他們的事件管理分析工具中，或者使用DomainTools網(wǎng)站上獨(dú)立的基于web的系統(tǒng)來查找歷史數(shù)據(jù)。問題是這些工具沒有集成在一起，所以分析師不得不單獨(dú)搜索。

通過Iris，“我們獲取了所有Whois數(shù)據(jù)，對其進(jìn)行全面解析，將其存儲在可擴(kuò)展的數(shù)據(jù)庫中，添加了所有DNS數(shù)據(jù)存儲……然后提供了一個可以查看所有這些數(shù)據(jù)的工具，”CEO Tim Chen在一次采訪中說。

此外，Iris還有一個聲譽(yù)引擎，可以根據(jù)已知的黑名單對域名進(jìn)行風(fēng)險評分。最后，它可以圖形化地顯示搜索結(jié)果，以便分析人員能夠更好地可視化信息。

陳說，Infosec專業(yè)人員希望能有大規(guī)模使用的工具，因為他們每天都能看到10,000個域名被他們的警報系統(tǒng)標(biāo)記出來。

當(dāng)這些系統(tǒng)發(fā)現(xiàn)可疑電子郵件和URL地址的來源時，通常需要進(jìn)行搜索。一些安全軟件或服務(wù)進(jìn)行他所稱的被動DNS掃描，但陳表示，域名工具實際上提供了一張互聯(lián)網(wǎng)地圖。他估計，該公司擁有互聯(lián)網(wǎng)上3億個域名中的2.8億個域名的數(shù)據(jù)。雖然一個域現(xiàn)在可能是私有的，但如果它在過去是公共的，DomainTools可以有它的記錄。

有關(guān)誰注冊了域名、IP地址或電子郵件地址的信息可以幫助分析人員決定是否需要阻止某些東西——或者惡意軟件已經(jīng)在他們的系統(tǒng)上存在了一段時間——從而為代碼提供上下文。

Iris允許分析師展開所謂的調(diào)查，然后保留所有搜索的記錄，以便分析師可以回去確認(rèn)所采取的步驟。搜索結(jié)果也可以下載到分析師工具中包含的.csv文件中。

Iris的目標(biāo)之一是為中型組織提供更好的DomainTools服務(wù)，并擴(kuò)大公司在威脅情報方面的品牌。

產(chǎn)品管理總監(jiān)Tim Helming表示，一家公司可以利用Iris來調(diào)查釣魚企圖，其中包括一個偽造的鏈接，指向一個惡意的Google.doc文檔。com。搜索將顯示該域的信息，包括注冊者。分析人員可以查看此注冊者擁有的其他域，如偽造的名稱和其他模式。

“當(dāng)新域名上線并被武器化時，我們可以預(yù)測它們的壞處，”Helming說，“或者現(xiàn)有的可能處于休眠狀態(tài)的域名遲早會被激活。