Die Domain Name System (DNS) is soos 'n telefoonboek wat gebruikersvriendelike name soos "ussc.ru" in IP-adresse vertaal. Aangesien DNS-aktiwiteit in byna alle kommunikasiesessies teenwoordig is, ongeag die protokol. DNS-registrasie is dus 'n waardevolle bron van data vir die inligtingsekuriteitspesialis, wat hulle in staat stel om onreëlmatighede op te spoor of bykomende data te bekom oor die stelsel wat ondersoek word.
In 2004 het Florian Weimer 'n aantekenmetode genaamd Passiewe DNS voorgestel, wat jou toelaat om die geskiedenis van DNS-dataveranderings te herstel met die vermoë om te indekseer en te soek, wat toegang tot die volgende data kan bied:
- Domeinnaam
- Die IP-adres van die gevraagde domeinnaam
- Datum en tyd van reaksie
- Tipe reaksie
- ens.
Data vir Passiewe DNS word van rekursiewe DNS-bedieners ingesamel deur ingeboude modules of deur antwoorde van DNS-bedieners wat verantwoordelik is vir die sone te onderskep.
Figuur 1. Passiewe DNS (van die webwerf geneem )
Die eienaardigheid van Passiewe DNS is dat dit nie nodig is om die kliënt se IP-adres te registreer nie, wat help om gebruikers se privaatheid te beskerm.
Op die oomblik is daar baie dienste wat toegang bied tot Passiewe DNS-data:
maatskappy
Farsight Sekuriteit
Virus Total
Risiko
SafeDNS
Sekuriteitspore
Cisco
Toegang
Op versoek
Vereis nie registrasie nie
Registrasie is gratis
Op versoek
Vereis nie registrasie nie
Op versoek
API
Aanwesig
Aanwesig
Aanwesig
Aanwesig
Aanwesig
Aanwesig
Kliënt teenwoordigheid
Aanwesig
Aanwesig
Aanwesig
Geen
Geen
Geen
Begin van data-insameling
2010 jaar
2013 jaar
2009 jaar
Wys slegs die afgelope 3 maande
2008 jaar
2006 jaar
Tabel 1. Dienste met toegang tot Passiewe DNS-data
Gebruik gevalle vir Passiewe DNS
Deur Passiewe DNS te gebruik, kan jy verhoudings tussen domeinname, NS-bedieners en IP-adresse bou. Dit laat jou toe om kaarte te bou van die stelsels wat bestudeer word en veranderinge in so 'n kaart op te spoor vanaf die eerste ontdekking tot die huidige oomblik.
Passiewe DNS maak dit ook makliker om afwykings in die verkeer op te spoor. Byvoorbeeld, deur veranderinge in NS-sones en rekords van tipe A en AAAA na te spoor, kan jy kwaadwillige werwe identifiseer deur die vinnige vloeimetode te gebruik, wat ontwerp is om C&C te verberg vir opsporing en blokkering. Omdat wettige domeinname (met die uitsondering van dié wat vir lasbalansering gebruik word) nie hul IP-adresse gereeld sal verander nie, en die meeste wettige sones verander selde hul NS-bedieners.
Passiewe DNS, in teenstelling met direkte opsomming van subdomeine met behulp van woordeboeke, laat jou toe om selfs die mees eksotiese domeinname te vind, byvoorbeeld, "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Dit laat jou ook soms toe om toets- (en kwesbare) areas van die webwerf, ontwikkelaarmateriaal, ens.
Ondersoek 'n skakel vanaf 'n e-pos met Passiewe DNS
Op die oomblik is strooipos een van die hoofmaniere waarop 'n aanvaller 'n slagoffer se rekenaar binnedring of vertroulike inligting steel. Kom ons probeer die skakel van so 'n e-pos met Passiewe DNS ondersoek om die doeltreffendheid van hierdie metode te evalueer.
Figuur 2. Strooipos e-pos
Die skakel van hierdie brief het gelei na die webwerf magnit-boss.rocks, wat aangebied het om outomaties bonusse in te samel en geld te ontvang:
Figuur 3. Bladsy wat op die magnit-boss.rocks-domein aangebied word
Vir die studie van hierdie webwerf is gebruik , wat reeds 3 klaargemaakte kliënte op het , и .
Eerstens sal ons die hele geskiedenis van hierdie domeinnaam uitvind, hiervoor sal ons die opdrag gebruik:
pt-kliënt pdns --navraag magnit-boss.rocks
Hierdie opdrag sal inligting terugstuur oor alle DNS-resolusies wat met hierdie domeinnaam geassosieer word.
Figuur 4. Reaksie van die Riskiq API
Kom ons bring die reaksie van die API na 'n meer visuele vorm:
Figuur 5. Alle inskrywings uit die antwoord
Vir verdere navorsing het ons die IP-adresse geneem waarna hierdie domeinnaam opgelos het toe die brief op 01.08.2019/92.119.113.112/85.143.219.65 ontvang is, sulke IP-adresse is die volgende adresse XNUMX en XNUMX.
Gebruik die opdrag:
pt-kliënt pdns --navraag
jy kan al die domeinname kry wat met gegewe IP-adresse geassosieer word.
Die IP-adres 92.119.113.112 het 42 unieke domeinname wat na hierdie IP-adres omgeskakel is, waaronder die volgende name:
- magnit-baas.klub
- igrovie-automaty.me
- pro-x-oudit.xyz
- zep3-www.xyz
- en ander
Die IP-adres 85.143.219.65 het 44 unieke domeinname wat na hierdie IP-adres omgeskakel is, waaronder die volgende name:
- cvv2.name (webwerf vir die verkoop van kredietkaartbesonderhede)
- emaills.world
- www.mailru.space
- en ander
Verbindings met hierdie domeinname lei tot uitvissing, maar ons glo in vriendelike mense, so laat ons probeer om 'n bonus van 332 roebels te kry? Nadat ons op die "JA" -knoppie geklik het, vra die webwerf ons om 501.72 roebels van die kaart oor te dra om die rekening te ontsluit en stuur ons na die webwerf as-torpay.info om data in te voer.
Figuur 6. Hoofblad van die webwerf ac-pay2day.net
Dit lyk soos 'n wettige webwerf, daar is 'n https-sertifikaat, en die hoofblad bied aan om hierdie betalingstelsel aan u webwerf te koppel, maar helaas, alle skakels om te koppel werk nie. Hierdie domeinnaam bepaal slegs 1 IP-adres - 190.115.19.74. Dit het op sy beurt 1475 unieke domeinname wat na hierdie IP-adres verwys, insluitend sulke name soos:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- en ander
Soos ons kan sien, stel Passiewe DNS jou in staat om vinnig en doeltreffend data in te samel oor die hulpbron wat bestudeer word en selfs 'n soort afdruk te bou wat jou toelaat om die hele skema vir die steel van persoonlike data te ontbloot, van die ontvangs daarvan tot die waarskynlike plek van verkoop.
Figuur 7. Kaart van die sisteem wat bestudeer word
Nie alles is so rooskleurig soos ons sou wou nie. Sulke ondersoeke kan byvoorbeeld maklik op CloudFlare of soortgelyke dienste breek. En die doeltreffendheid van die versamelde databasis is baie afhanklik van die aantal DNS-navrae wat deur die module gaan vir die insameling van Passiewe DNS-data. Passiewe DNS is nietemin 'n bron van bykomende inligting vir die navorser.
Skrywer: Spesialis van die Oeral-sentrum vir sekuriteitstelsels
Bron: will.com