#我是玩情资安全的新手
#各位大神鞭小力一点
#也欢迎指教~
#有闲时间再来挖的更深

IG不知道从什么时候出现了一堆乳房大军拔山倒树而来
通常都是出现在一些粉专下方的留言
而且留言速度之快
但那些乳房大军真的只是要闹粉专吗
还是有其他意图呢

乳房大军示意图

话不多说
调查开始

先透过沙箱(virustotal、riskIQ)来针对url做情资分析

好像没有什么特别的东西
但发现他的subdomain有3K，判断可能是dynamic domain(动态网域)
dynamic domain的特点就是DNS跟WHOIS没有太大的关联
于是再针对WHOIS做查找

WHOIS information

WHOIS一个出来，好像也没有什么奇怪的地方
这就开始有点好奇，那个网站到底是什么
不多说了

因为怕连结还是带有病毒，所以打算用虚拟机来开

用virtual machine开连结

哭啊!什么鬼啊......
搞了老半天结果是堂堂正正的色情网站......

不过为了研(单)究(纯)用(好)途(奇)
我继续往下开里面的连结(箭头旁那个)

出现了J个

仔细一看上面的URL就是刚才virustotal里面的link

再继续挖

啊ㄏㄚˋ 终于又来到了另一个Domain下了

把这串url再放到沙箱看看啰

virustotal

(1)

(2)

好吧QQ 看来我误会你了
我以为你是钓鱼网站
结果你真的是一个堂堂正正的色情网站

conclusion

虽然目前看来乳房大军没有什么恶意，只是想叫你注册他的网站，再用你色色的、变态的、坏坏的想法来赚一波
但之前也是有案例，这种网站还是有web安全性的问题
即使web的server端很乖
但骇客还是坏坏的想偷走你的个资喔!!~~