Intel 471 日常会花费大量的时间跟踪攻击基础设施的提供商。其中，防弹主机服务提供商（BPH）在地下犯罪市场很受追捧，从低级的网络钓鱼到高级的网络入侵都有使用。

概述

将注意力投入恶意基础设施提供方时，可以发现攻击者中成本比较高，更改频率比较低的部分。可以识别、跟踪并主动阻拦这些恶意基础设施。本文将以 TA505 为例，介绍跟踪其基础设施服务提供商的情况，阻止整个相关的前缀。

分析过程

Get2 Loader 被认为处在 TA505 感染链的早期阶段，与其基础设施相比，TA505 的基础设施会更少变动。

针对基础设施服务提供商，有以下引人注意的几点：

• 运营公司在离岸地点注册，例如 Belize、Seychelles、Panama 等
• 公司在最近 1-3 年注册
• 关联的 ASN 在最近 1-3 年创建
• ASN 关联的前缀数量很少（1-6）
• ASN 关联的范围较小（/22 到 /24）
• ASN 具有少量（1-2） peers（如 BGP peer）
• 架构中几乎没有托管任何良性内容
• 一直在地下论坛中活跃

从与 TA505 有关的两个 IP（176.121.14.175、176.121.14.238）开始分析。首先要了解的是与 IP 地址相关的最小前缀声明与路由历史记录。使用 RIPEStat 可以看出：自 2018 年以来，这两个 IP 都成为了 176.121.14.0/24 地址块的一部分，目前由 AS210138 持有，一共提供 256 个 IP 地址。

https://stat.ripe.net/widget/routing-history#w.resource=176.121.14.175

之后，利用 RIPRStat 了解有关 AS210138 的路由历史，可以提供有关特定自治系统（AS）的前缀信息。可以发现，AS210138 自从 2019 年 10 月以来，公开了 IPv4 的 /24 前缀。自从 2020 年 4 月以来，公开了 IPv6 的 /48 前缀。如果确信该 ASN 由恶意基础设施服务提供商控制，可以阻止与之关联的前缀。

https://stat.ripe.net/widget/routing-history#w.resource=AS210138

此外，还可以通过 RIPE 数据库和其他工具对 ASN 展开进一步研究，但这超过了本文的讨论范围。我们只聚焦在人员、组织和 ASN 上进行讨论：

https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=AS210138&type=aut-num

https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=ORG-FL235-RIPE&type=organisation

https://apps.db.ripe.net/db-web-ui/lookup?source=RIPE&type=person&key=NS7363-RIPE

通过 RIPE 的数据库查询的信息比域名的 whois 更可靠，因为其中一些数据与 BGP 有关，如果想使用 BGP 必须使用合法信息。

• 这两个 IP 地址都是 176.121.14.0/24 的一部分
• 176.121.14.0/24 是包含 256 个 IP 地址的较小地址块
• 地址块属于 ASN 210138，在 2019 年 10 月 2 日创建
• AS 在 2019 年 10 月 12 日首次对外宣布 176.121.14.0/24
• IP 和 ASN 都与 Flowspec 的公司有关

接下来我们要确认这个公司是否在地下市场为网络犯罪分子提供服务，快速浏览多个地下论坛可以发现 Flowspec 提供防弹主机托管服务。

可见 TA505 使用了 Flowspec 的防弹主机服务，这一地址块的地址多少会与恶意行为有关。

结论

1. 阻止与 172.121.14.0/24 有关的 256 个 IP 地址，这些地址由防弹主机服务提供商运营。TA505 是其中一个客户
2. 监控 172.121.14.0/24 是否存在 BGP 公告，出现的情况下表明该地址块可能已从 Flowspec 删除或转移到另一个实体，不再提供防弹主机服务
3. 监控该 ASN 是否存在 BGP 公告，出现的情况下表明可能出现了新的地址块归属

参考链接

Intel471