Domen Adı Sistemi (DNS) “ussc.ru” kimi istifadəçi dostu adları IP ünvanlarına çevirən telefon kitabçasına bənzəyir. DNS fəaliyyəti protokoldan asılı olmayaraq demək olar ki, bütün rabitə seanslarında mövcud olduğundan. Beləliklə, DNS qeydiyyatı informasiya təhlükəsizliyi üzrə mütəxəssis üçün qiymətli məlumat mənbəyidir, onlara anomaliyaları aşkar etməyə və ya araşdırılan sistem haqqında əlavə məlumat əldə etməyə imkan verir.
2004-cü ildə Florian Weimer, aşağıdakı məlumatlara çıxışı təmin edə bilən DNS məlumatlarının dəyişmə tarixini indeksləşdirmə və axtarış imkanı ilə bərpa etməyə imkan verən Passive DNS adlı giriş metodunu təklif etdi:
- Domen adı
- Tələb olunan domen adının IP ünvanı
- Cavabın tarixi və vaxtı
- Cavab növü
- və s.
Passiv DNS üçün məlumatlar daxili modullar vasitəsilə və ya zonaya cavabdeh olan DNS serverlərinin cavablarını tutmaqla rekursiv DNS serverlərindən toplanır.
Şəkil 1. Passiv DNS (saytdan götürülmüşdür )
Passive DNS-in özəlliyi ondan ibarətdir ki, müştərinin IP ünvanını qeydiyyatdan keçirməyə ehtiyac yoxdur, bu da istifadəçi məxfiliyinin qorunmasına kömək edir.
Hal-hazırda, Passiv DNS məlumatlarına çıxışı təmin edən bir çox xidmət var:
şirkət
Uzaqgörmə Təhlükəsizliyi
VirusTotal
Riskiq
Təhlükəsiz DNS
təhlükəsizlik yolları
Cisco
Giriş
Xahişi ilə
Qeydiyyat tələb etmir
Qeydiyyat pulsuzdur
Xahişi ilə
Qeydiyyat tələb etmir
Xahişi ilə
API
İndiki
İndiki
İndiki
İndiki
İndiki
İndiki
Müştəri varlığı
İndiki
İndiki
İndiki
Heç kim
Heç kim
Heç kim
Məlumatların toplanmasının başlanğıcı
2010 il
2013 il
2009 il
Yalnız son 3 ayı göstərir
2008 il
2006 il
Cədvəl 1. Passiv DNS məlumatlarına çıxışı olan xidmətlər
Passiv DNS üçün hallarda istifadə edin
Passiv DNS-dən istifadə edərək siz domen adları, NS serverləri və IP ünvanları arasında əlaqələr qura bilərsiniz. Bu, tədqiq olunan sistemlərin xəritələrini qurmağa və ilk kəşfdən indiki ana qədər belə xəritədəki dəyişiklikləri izləməyə imkan verir.
Passiv DNS də trafikdəki anomaliyaları aşkar etməyi asanlaşdırır. Məsələn, NS zonalarında dəyişikliklərin və A və AAAA tipli qeydlərin izlənilməsi C&C-nin aşkarlanması və bloklanmasından gizlədilməsi üçün nəzərdə tutulmuş sürətli axını metodundan istifadə edərək zərərli saytları müəyyən etməyə imkan verir. Çünki qanuni domen adları (yük balansı üçün istifadə olunanlar istisna olmaqla) IP ünvanlarını tez-tez dəyişməyəcək və əksər qanuni zonalar nadir hallarda NS serverlərini dəyişir.
Passiv DNS, lüğətlərdən istifadə edərək alt domenlərin birbaşa sadalanmasından fərqli olaraq, hətta ən ekzotik domen adlarını da tapmağa imkan verir, məsələn, “222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. O, həmçinin bəzən vebsaytın test (və həssas) sahələrini, tərtibatçı materiallarını və s. tapmağa imkan verir.
Passiv DNS istifadə edərək e-poçtdan bir keçidin araşdırılması
Hazırda spam təcavüzkarın qurbanın kompüterinə nüfuz etməsinin və ya məxfi məlumatları oğurlamasının əsas yollarından biridir. Bu metodun effektivliyini qiymətləndirmək üçün Passive DNS-dən istifadə edərək belə bir e-poçtdan olan keçidi araşdırmağa çalışaq.
Şəkil 2. Spam e-poçt
Bu məktubdakı keçid avtomatik olaraq bonuslar toplamaq və pul almağı təklif edən magnit-boss.rocks saytına səbəb oldu:
Şəkil 3. magnit-boss.rocks domenində yerləşdirilən səhifə
Bu saytın öyrənilməsi üçün istifadə edilmişdir , artıq 3 hazır müştərisi var , и .
Əvvəlcə bu domen adının bütün tarixini öyrənəcəyik, bunun üçün əmrdən istifadə edəcəyik:
pt-client pdns --query magnit-boss.rocks
Bu əmr bu domen adı ilə əlaqəli bütün DNS qətnamələri haqqında məlumatı qaytaracaq.
Şəkil 4. Riskiq API-dən cavab
API-dən cavabı daha vizual formaya gətirək:
Şəkil 5. Cavabdan bütün qeydlər
Əlavə araşdırma üçün 01.08.2019/92.119.113.112/85.143.219.65-cu il tarixində məktub alınarkən bu domen adının həll edildiyi IP ünvanlarını götürdük, belə IP ünvanlar aşağıdakı XNUMX və XNUMX-dir.
Komandadan istifadə edərək:
pt-client pdns - sorğu
verilmiş IP ünvanları ilə əlaqəli bütün domen adlarını əldə edə bilərsiniz.
92.119.113.112 IP ünvanında bu IP ünvanına həll edilmiş 42 unikal domen adı var, bunlar arasında aşağıdakı adlar var:
- maqnit-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- və digərləri
85.143.219.65 IP ünvanında bu IP ünvanına həll edilmiş 44 unikal domen adı var, bunlar arasında aşağıdakı adlar var:
- cvv2.name (kredit kartı məlumatlarını satmaq üçün vebsayt)
- emaills.world
- www.mailru.space
- və digərləri
Bu domen adları ilə əlaqələr fişinqə gətirib çıxarır, lakin biz xeyirxah insanlara inanırıq, ona görə də gəlin 332 501.72 rubl bonus almağa çalışaq? “YES” düyməsini basdıqdan sonra sayt hesabı açmaq üçün kartdan 300 rubl köçürməyimizi xahiş edir və məlumatları daxil etmək üçün bizi as-torpay.info saytına göndərir.
Şəkil 6. ac-pay2day.net saytının əsas səhifəsi
Qanuni sayta bənzəyir, https sertifikatı var və əsas səhifə bu ödəniş sistemini saytınıza qoşmağı təklif edir, amma təəssüf ki, qoşulmaq üçün bütün keçidlər işləmir. Bu domen adı yalnız 1 IP ünvanını həll edir - 190.115.19.74. O, öz növbəsində, bu IP ünvanını həll edən 1475 unikal domen adına malikdir, o cümlədən aşağıdakı adlar:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- və digərləri
Gördüyümüz kimi, Passiv DNS sizə tədqiq olunan resurs haqqında məlumatı tez və səmərəli şəkildə toplamağa və hətta şəxsi məlumatların alınmasından tutmuş ehtimal olunan satış yerinə qədər bütün sxemi üzə çıxarmağa imkan verən bir növ iz yaratmağa imkan verir.
Şəkil 7. Tədqiq olunan sistemin xəritəsi
Hər şey istədiyimiz qədər çəhrayı deyil. Məsələn, bu cür araşdırmalar CloudFlare və ya oxşar xidmətlərdə asanlıqla pozula bilər. Toplanmış verilənlər bazasının effektivliyi isə Passiv DNS məlumatlarının toplanması üçün moduldan keçən DNS sorğularının sayından çox asılıdır. Buna baxmayaraq, Passiv DNS tədqiqatçı üçün əlavə məlumat mənbəyidir.
Müəllif: Ural Təhlükəsizlik Sistemləri Mərkəzinin mütəxəssisi
Mənbə: www.habr.com