要开始寻找威胁基础设施，我们要看看你的代理和DNS生成的活动。丰富的代理日志允许您搜索不同类型的活动，如按下载驱动。当在代理日志中寻找恶意软件的证据时，像“Referrer”、“URI”、“User Agent”和“Host”这样的字段是很容易堆叠的，并且对于数据泄露之类的事情很有用。我将主要关注URI和Referrer字段，因为这两个字段将用户指向Internet上的一个资源，这个资源可能是可疑的，或者会破坏您的网络。url是这个字段的值，我们将在这篇文章中讨论它们。这些url是您的组织和攻击者的威胁基础结构之间的链接，利用它们来破坏您的网络。

一、攻击的组成部分

有一些有趣的组成部分的攻击，我将非常简要地描述，如:驱动器下载，恶意软件传递网络，快速流量网络，和动态DNS。

所有这些组件目前都是您和攻击者之间的链接。对一个URL的简单访问可以将您重定向到另一个URL，并通过登录页面为您提供漏洞利用。一图胜百言。

登陆页-由EK发送的第一项，它由代码组成，收集受害者的Windows电脑数据，并找到一个脆弱的应用程序(Flash或Internet雇主)来执行代码(.exe或.dll)。

Exploit Kit (EK)—一个基于服务器的框架，它使用针对web浏览器或第三方应用程序(如Adobe Flash player、Java运行时环境、Microsoft Silverlight等)中的漏洞的Exploit。

恶意软件-这是由EK交付的有效载荷，如果利用是成功的。感染基于Windows的计算机的有效负载的一个示例是文件类型.exe或.dll。

作为利用工具包检测的一个例子，一个好的实践是搜索http代码302和200，这可能表明URL重定向和一个登录页面已经加载。不要忘记这可能是正常的活动，但是，也可能不是，这取决于URL的值和从中获得的分析结果。这个URL主要是冰山一角，是对恶意软件传输网络的第一次攻击。

一旦妥协发生，恶意软件将电话回家接收命令，扩展立足点，并执行任何形式的活动编码的恶意软件。这是恶意软件服务的最后一步，或者是通过恶意软件传输网络打回家的最后一步，这是防御者需要了解的最重要的一步。现代僵尸网络和一些恶意软件使用所谓的快速流量技术，如动态DNS和域生成算法(DGA)，以逃避消除和增加混淆的防御者。

快速流量网络背后的主要思想是将多个IP地址映射到相同的DNS名称，因此域名可以非常快地解析到不同的IP，通常需要几分钟。

这些ip不托管后端服务器，它们只代理查询并将其发送到后端服务器。这为攻击者提供了很大程度的弹性、伪装和节省，因为他们不需要复制恶意软件传输网络的后端。

二、动态域名

动态DNS是一种合法的技术，允许企业将资源驻留在不断变化的IP地址上。例如，个人或小型公司需要在动态IP上托管资源。当IP不断变化时，动态DNS的优点是能够将资源映射到不断变化的IP。DNS的这一特性对罪犯非常有吸引力，因为罪犯需要不断地更改其恶意软件传输网络的IP地址，以避免被发现。

动态DNS可以完美地检测在URL字段。并不是所有的动态DNS域都是恶意的，但是，它们是一个独立的指示器，与其他的一起，可以自动标记URL的恶意性质。动态DNS实质上是一种规避IP黑名单的有效技术。

三、DGA

DGA是一个有趣的算法。基于dga的恶意软件生成许多域名并试图连接到它们。大多数这些域名都没有注册，它们不存在，并且它们将生成大量日志，并带有NXDOMAIN错误。只有少数由DGA生成的域将启动并运行，因为攻击者已经操纵了嵌入到恶意软件中的算法，从而能够计算生成域的过程的随机性。

该技术有助于避免使用随机生成的可丢弃子域将域列入黑名单。然而，与fast flux相似的是，对于动态DNS, IP落在一个ISP和1或2个ASN’s(自治系统号)的寻址空间。对于快速通量，IP落在不同ASN ' s或不同的IP ' s分散在多个地理位置。

四、攻击传递

现在，让我们来看看攻击者传递攻击的一些潜在选项:变换域、合法攻陷域和可疑域。

1、变换域

互联网上有合法的资源，通常是一个带有广告的页面，为访问它们的用户提供的价值非常有限。这些域名是由打字型域名抢注者(又称域名抢注者)或合法的域名注册商注册的，他们希望通过访问那些可能登陆主页的用户来赚钱。这些域通常用于恶意实践，其中的页面可以提供恶意广告或恶意软件。

2、合法攻陷域

这个选项很容易理解:维护不好的脆弱站点可能被破坏并被用于恶意目的。

3、其它可疑域

在近40年前的互联网革命中，我们从6个顶级域名(TLDs)开始，如.com、.net、.org、.gov、.mil和.edu。在后来的几十年里，互联网发展迅速，今天我们有大约1000个tld。tld的扩散支持互联网的发展，然而，它也带来了严重的风险，因为不可能监控它们的恶意活动，这就是为什么一些可疑域只支持恶意内容。

防御者面临的最大挑战是在不造成附带伤害的情况下，阻止或中断通信以防御这些攻击。当防御者试图阻止或取下共享域名、承载不同站点的IP地址或阻止不同域使用的名称服务器时，事情就变得混乱了。

在以后的一篇文章中，我将处理这个问题，并解释我们可以使用哪些工具来检测、阻止、研究和跟踪这种恶意基础设施。我不仅想展示什么是可能的检测，但也如何恶意软件目前的行为，因为上面所描述的一些活动将在分析您在您的代理日志中找到的URL。我见过分析师发疯，因为他们无法解释为什么工具和自动化规则报告干净的站点或不同的IP。每次解析域时，都会产生前面提到的混乱情况，从而有效地规避了前面解释的检测。

我花了一些时间寻找代理，他们将有助于了解什么样的活动是可能的检测。通常情况下，你需要花些时间将所有的信息整合在一起，但这正是我必须经历的过程，这将使在你的代理日志中搜寻信息成为一种习惯。狩猎是一个无止境的学习过程，在这个过程中，我们需要努力去理解什么是可能的，并能够赶上即将到来的技术。