#我是玩情資安全的新手
#各位大神鞭小力一點
#也歡迎指教~
#有閒時間再來挖的更深

IG不知道從什麼時候出現了一堆乳房大軍拔山倒樹而來
通常都是出現在一些粉專下方的留言
而且留言速度之快
但那些乳房大軍真的只是要鬧粉專嗎
還是有其他意圖呢

乳房大軍示意圖

話不多說
調查開始

先透過沙箱(virustotal、riskIQ)來針對url做情資分析

好像沒有什麼特別的東西
但發現他的subdomain有3K，判斷可能是dynamic domain(動態網域)
dynamic domain的特點就是DNS跟WHOIS沒有太大的關聯
於是再針對WHOIS做查找

WHOIS information

WHOIS一個出來，好像也沒有什麼奇怪的地方
這就開始有點好奇，那個網站到底是什麼
不多說了

因為怕連結還是帶有病毒，所以打算用虛擬機來開

用virtual machine開連結

哭啊!什麼鬼啊......
搞了老半天結果是堂堂正正的色情網站......

不過為了研(單)究(純)用(好)途(奇)
我繼續往下開裡面的連結(箭頭旁那個)

出現了J個

仔細一看上面的URL就是剛才virustotal裡面的link

再繼續挖

啊ㄏㄚˋ 終於又來到了另一個Domain下了

把這串url再放到沙箱看看囉

virustotal

(1)

(2)

好吧QQ 看來我誤會你了
我以為你是釣魚網站
結果你真的是一個堂堂正正的色情網站

conclusion

雖然目前看來乳房大軍沒有什麼惡意，只是想叫你註冊他的網站，再用你色色的、變態的、壞壞的想法來賺一波
但之前也是有案例，這種網站還是有web安全性的問題
即使web的server端很乖
但駭客還是壞壞的想偷走你的個資喔!!~~