Сістэма даменных імёнаў (DNS) з'яўляецца падабенствам тэлефоннай кнігі, якая перакладае зручныя для карыстальніка імёны, такія як "ussc.ru", у IP-адрасы. Бо актыўнасць DNS прысутнічае практычна ва ўсіх сеансах сувязі, незалежна ад пратаколу. Такім чынам DNS лагіраванне з'яўляецца каштоўнай крыніцай дадзеных для адмыслоўца па інфармацыйнай бяспецы, якое дазваляе ім выяўляць анамаліі ці атрымліваць дадатковыя дадзеныя аб доследнай сістэме.
У 2004 годзе Фларыянам Ваймерам быў прапанаваны такі метад лагіравання, як Passive DNS, які дазваляе аднаўляць гісторыю змяненняў DNS даных з магчымасцю індэксацыі і пошуку, якія могуць прадастаўляць доступ да наступных даных:
- Даменнае імя
- IP-адрас запытанага даменнага імя
- Дату і час адказу
- Тып адказу
- і г.д.
Дадзеныя для Passive DNS збіраюцца з рэкурсіўных DNS-сервераў убудаванымі модулямі ці з дапамогай перахопу адказаў ад DNS-сервераў, адказных за зону.
Малюнак 1. Passive DNS (узяты з сайта )
Асаблівасць Passive DNS заключаецца ў адсутнасці неабходнасці рэгістраваць IP-адрас кліента, што дазваляе абараніць канфідэнцыяльнасць карыстальнікаў.
На дадзены момант існуе мноства сэрвісаў, якія прадстаўляюць доступ да Passive DNS дадзеных:
кампанія
Farsight Security
VirusTotal
Riskiq
SafeDNS
SecurityTrails
Cisco
доступ
Па запыту
Не патрабуе рэгістрацыі
Вольная рэгістрацыя
Па запыту
Не патрабуе рэгістрацыі
Па запыту
API
прысутнічае
прысутнічае
прысутнічае
прысутнічае
прысутнічае
прысутнічае
Наяўнасць кліента
прысутнічае
прысутнічае
прысутнічае
Адсутнічае
Адсутнічае
Адсутнічае
Пачатак збору дадзеных
2010 год
2013 год
2009 год
Адлюстроўвае толькі апошнія 3 месяцы
2008 год
2006 год
Табліца 1. Сэрвісы з доступам да Passive DNS дадзеных
Варыянты выкарыстання Passive DNS
Выкарыстоўваючы Passive DNS можна адбудоўваць сувязі паміж даменнымі імёнамі, NS серверамі і IP-адрасамі. Гэта дазваляе будаваць карты доследных сістэм і адсочваць змены такой карты ад першага выяўлення да бягучага моманту.
Таксама Passive DNS палягчае выяўленні анамалій у трафіку. Напрыклад, адсочвання змен у NS зонах і запісах тыпу A і AAAA дазваляе выяўляць шкоднасныя сайты, якія выкарыстоўваюць метад fast flux, закліканы схаваць C&C ад выяўлення і блакаванні. Паколькі легітымныя даменныя імёны (за выключэннем тых, якія выкарыстоўваюцца для размеркавання нагрузкі) не будуць часта мяняць свае IP-адрасы, а большасць легітымных зон рэдка мяняюць свае NS сервера.
Passive DNS у адрозненне ад прамога перабору паддаменаў па слоўніках дазваляе знайсці нават самыя экзатычныя даменныя імёны, напрыклад "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Таксама гэта часам дазваляе знайсці тэставыя (і ўразлівыя) вобласці вэб-сайта, матэрыялы для распрацоўнікаў і да т.п.
Даследаванне спасылкі з ліста, выкарыстоўваючы Passive DNS
На дадзены момант спам з'яўляецца адным з асноўных спосабаў, праз які зламыснік пранікае на кампутар ахвяры ці крадзе канфідэнцыйную інфармацыю. Паспрабуем даследаваць спасылку з такога ліста, выкарыстаючы Passive DNS, каб ацаніць эфектыўнасць дадзенага метаду.
Малюнак 2. Спам ліст
Спасылка з дадзенага ліста вяла на сайт magnit-boss.rocks, які прапаноўваў у аўтаматычным рэжыме збіраць бонусы і атрымліваць грошы:
Малюнак 3. Старонка, размешчаная на дамене magnit-boss.rocks
Для даследавання дадзенага сайта быў выкарыстаны , які ўжо мае 3 гатовых кліента на , и .
Перш за ўсё даведаемся ўсю гісторыю дадзенага даменнага імя, для гэтага скарыстаемся камандай:
pt-client pdns -query magnit-boss.rocks
Дадзеная каманда выдасць інфармацыю пра ўсе DNS рэзалвы, звязаныя з гэтым даменным імем.
Малюнак 4. Адказ ад API Riskiq
Прывядзем адказ ад API да больш навочнага ўвазе:
Малюнак 5. Усе запісы з адказу
Для далейшага даследавання былі ўзяты IP-адрасы, у якія дадзенае даменнае імя рэзалвілася на момант атрымання ліста 01.08.2019, такімі IP-адрасамі з'яўляюцца наступныя адрасы 92.119.113.112 і 85.143.219.65.
Выкарыстоўваючы каманду:
pt-client pdns -query
можна атрымаць усе даменныя імёны, якія звязаны з дадзенымі IP-адрасамі.
IP-адрас 92.119.113.112 мае 42 унікальных даменных імя, якія рэзаляваліся ў дадзены IP-адрас, сярод якіх ёсць такія імёны:
- magnit-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- і інш
IP-адрас 85.143.219.65 мае 44 унікальных даменных імя, якія рэзалвіліся ў дадзены IP-адрас, сярод якіх ёсць такія імёны:
- cvv2.name (сайт для продажу дадзеных крэдытных карт)
- emaills.world
- www.mailru.space
- і інш
Сувязі з дадзенымі даменнымі імёнамі наводзяць на фішынг, але мы ж верым у добрых людзей, таму паспрабуем атрымаць бонус у памеры 332 501.72 рублёў? Пасля націску на кнопку "ТАК", сайт просіць нас перавесці 300 рублёў з карты для разблакіроўкі рахунку і адпраўляе нас на сайт as-torpay.info для ўводу даных.
Малюнак 6. Галоўная старонка сайта ac-pay2day.net
З выгляду легальны сайт, ёсць https сертыфікат, ды і галоўная старонка прапануе падлучыць дадзеную аплатную сістэму да свайго сайта, але, нажаль, усе спасылкі на падлучэнне не працуюць. Дадзенае даменнае імя разважаецца толькі ў 1 ip-адрас - 190.115.19.74. Ён у сваю чаргу мае 1475 унікальных даменных імёнаў, якія рэзаляваліся ў дадзены IP-адрас, сярод якіх такія імёны як:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- і інш
Як мы можам бачыць Passive DNS дазваляе досыць хутка і эфектыўна сабраць дадзеныя аб доследным рэсурсе і нават пабудаваць своеасаблівыя адбітак, які дазваляе раскрыць цэлую схему па крадзяжы персанальных дадзеных, ад яго атрымання да верагоднага месца продажу.
Малюнак 7. Карта доследнай сістэмы
Не ўсё так радасна, як бы нам хацелася. Да прыкладу, такія расследаванні лёгка могуць разбіцца аб СloudFlare ці падобныя сэрвісы. А эфектыўнасць збіранай базы вельмі залежыць ад колькасці DNS запытаў, якія праходзяць праз модуль для збору Passive DNS дадзеных. Але тым не менш Passive DNS з'яўляецца крыніцай дадатковай інфармацыі для даследніка.
Аўтар: Спецыяліст Уральскага цэнтра сістэм бяспекі
Крыніца: habr.com