邮件域名垃圾查询系统_微软 (Microsoft) 的子域名查询：情况能有多糟？

微软是世界上被模仿最多的品牌之一。 最近使用子域名查找（ ）工具对该公司的热门产品和服务名称（例如 、 、 和 ）进行运行，发现了 7,900 个相关子域名。

然后使用域名和IP情报工具（例如IP和Bulk WHOIS）对子域查询结果进行分析。 获得的见解使我们能够回答这些问题。

可归属子域和不可归属子域的比较

从7900个子域名的查询结果中，总共找到了399个唯一的顶级域名后缀。 然而，只有其中之一可以公开归因于微软。 我们是怎么发现的？ 我们使用 WHOIS 查询来查看 用于注册其域名的电子邮件地址。 在 399 个域名中，只有一个使用相同的电子邮件地址 - 这让人对其他域名的所有权产生怀疑。

一些公司可能有正当理由设置 相关的子域。 但是，有些可能会用于攻击（例如品牌假冒，或使网络钓鱼网站看起来更可信）。 如果合法子域被遗忘且未受保护，也可能被威胁行为者利用。

前 10 位顶级域名 (TLD)

下图显示了最常用的 10 个顶级域名 (TLD)。 总体而言，它们占子域的 94%。 其余 6% 分布在其他 43 个 TLD 中。

子域名位置

对子域进行地理定位时需要考虑两个数据点。 第一个是基于根域的 WHOIS 记录的注册人国家/地区，尽管这也可以反映注册商的位置或域所有者使用的隐私保护服务。

另一方面，IP地理定位可以准确指出解析到子域名的IP地址的地理位置。 IP 解析可以通过批量 IP 地理位置查找等工具进行识别，在本例中该工具找到了 1,460 个 IP 地址。

下表显示了前 10 个注册国家/地区和子域的前 10 个 IP 位置。 美国在注册国家名单中名列前茅，与其知识产权地理位置并列。 除了美国之外，加拿大和法国也出现在这两个名单上。

常用的文本字符串

文本字符串“com”不仅用作 TLD，而且还显着地出现在子域的其他级别，也许是为了让人们相信他们的 TLD 是 .com 并让他们忽略它的其余部分。 下面的屏幕截图中以红色突出显示了一些示例。

除了“com”之外，在子域中重复出现的其他单词还包括“”、“login”、“net”、“”、“”、“”、“”、“”和“”。 下图显示了这些文本字符串出现的次数。

相关子域解析为恶意IP地址的案例

某些 IP 地址与多个子域关联。 检查了那些连接子域超过 35 个的地址。

这些 IP 地址已被报告存在不同的恶意活动，包括网络钓鱼、垃圾邮件、欺诈性订单、暴力攻击和端口扫描。 总共 996 个子域连接到这些 IP 地址，因此它们对于安全团队来说具有很高的优先级。

对 及其产品或服务的子域查询结果的简要研究旨在说明将子域作为企业域攻击面一部分进行监控的重要性。 更重要的是，这些子域不仅是微软攻击面的一部分，也是每个用户攻击面的一部分。