🥇Пасивен DNS в ръцете на анализатор

Системата за имена на домейни (DNS) е като телефонен указател, който превежда удобни за потребителя имена като "ussc.ru" в IP адреси. Тъй като DNS активността присъства в почти всички комуникационни сесии, независимо от протокола. По този начин DNS регистрирането е ценен източник на данни за специалистите по информационна сигурност, което им позволява да откриват аномалии или да получават допълнителни данни за изследваната система.

През 2004 г. Florian Weimer предложи метод за регистриране, наречен Passive DNS, който ви позволява да възстановите историята на промените в DNS данните с възможност за индексиране и търсене, което може да осигури достъп до следните данни:

Доменное име
IP адрес на исканото име на домейн
Дата и час на отговора
Тип отговор
и т.н.

Данните за Passive DNS се събират от рекурсивни DNS сървъри чрез вградени модули или чрез прихващане на отговори от DNS сървъри, отговорни за зоната.

Фигура 1. Пасивен DNS (взет от сайта Ctovision.com)

Особеността на пасивния DNS е, че не е необходимо да се регистрира IP адресът на клиента, което помага за защита на поверителността на потребителите.

В момента има много услуги, които предоставят достъп до пасивни DNS данни:

DNSDB
Virustotal
PassiveTotal
октопод
SecurityTrails
Разследване на чадъра

компания
Farsight Security
Virustotal
Riskiq
SafeDNS
SecurityTrails
Cisco

Достъп
По заявка
Не изисква регистрация
Регистрацията е безплатна
По заявка
Не изисква регистрация
По заявка

API
Присъства
Присъства
Присъства
Присъства
Присъства
Присъства

Наличност на клиент
Присъства
Присъства
Присъства
Никой
Никой
Никой

Начало на събирането на данни
2010 година
2013 година
2009 година
Показва само последните 3 месеца
2008 година
2006 година

Таблица 1. Услуги с достъп до пасивни DNS данни

Използване на пасивен DNS

Използвайки Passive DNS, можете да изграждате връзки между имена на домейни, NS сървъри и IP адреси. Това ви позволява да създавате карти на изследваните системи и да проследявате промените в такава карта от първото откритие до текущия момент.

Пасивният DNS също улеснява откриването на аномалии в трафика. Например проследяването на промените в NS зони и записи от тип A и AAAA ви позволява да идентифицирате злонамерени сайтове с помощта на метода на бързия поток, предназначен да скрие C&C от откриване и блокиране. Тъй като законните имена на домейни (с изключение на тези, използвани за балансиране на натоварването) няма да променят често своите IP адреси, а повечето законни зони рядко променят своите NS сървъри.

Пасивният DNS, за разлика от директното търсене на поддомейни с помощта на речници, ви позволява да намерите дори най-екзотичните имена на домейни, например „222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru“. Също така понякога ви позволява да намерите тестови (и уязвими) области на уебсайта, материали за разработчици и т.н.

Проучване на връзка от имейл чрез пасивен DNS

В момента спамът е един от основните начини, по който нападателят прониква в компютъра на жертвата или краде поверителна информация. Нека се опитаме да разгледаме връзката от такъв имейл с помощта на Passive DNS, за да оценим ефективността на този метод.

Фигура 2. Спам имейл

Връзката от това писмо води до сайта magnit-boss.rocks, който предлага автоматично събиране на бонуси и получаване на пари:

Фигура 3. Страница, хоствана на домейна magnit-boss.rocks

За изследването на този сайт е използван Riskiq API, който вече има 3 готови клиента на Питон, Рубин и Ръжда.

Първо, ще разберем цялата история на това име на домейн, за това ще използваме командата:

pt-клиент pdns —заявка magnet-boss.rocks

Тази команда ще покаже информация за всички разрешавания на DNS, свързани с това име на домейн.

Фигура 4. Отговор от Riskiq API

Нека поставим отговора от API в по-визуална форма:

Фигура 5. Всички записи от отговора

За по-нататъшно проучване взехме IP адресите, към които това име на домейн е било разрешено към момента на получаване на писмото на 01.08.2019 г., такива IP адреси са следните адреси 92.119.113.112 и 85.143.219.65.

Използване на командата:

pt-клиент pdns --заявка

можете да получите всички имена на домейни, които са свързани с тези IP адреси.
IP адресът 92.119.113.112 има 42 уникални имена на домейни, които са разрешени към този IP адрес, сред които са следните имена:

magnet-boss.club
igrovie-avtomaty.me
pro-x-одит.xyz
zep3-www.xyz
и т.н.

IP адресът 85.143.219.65 има 44 уникални имена на домейни, които са разрешени към този IP адрес, сред които са следните имена:

cvv2.name (сайт за продажба на данни за кредитни карти)
emaills.world
www.mailru.space
и т.н.

Връзките с тези имена на домейни водят до фишинг, но ние вярваме в любезните хора, така че нека се опитаме да получим бонус от 332 501.72 рубли? След като щракнете върху бутона „ДА“, сайтът ни моли да прехвърлим 300 рубли от картата, за да отключим акаунта и ни изпраща на сайта as-torpay.info, за да въведем данни.

Фигура 6. Начална страница на сайта ac-pay2day.net

Изглежда като легален сайт, има https сертификат и главната страница предлага да свържете тази платежна система към вашия сайт, но, уви, всички връзки за свързване не работят. Това име на домейн разрешава само 1 IP адрес - 190.115.19.74. Той от своя страна има 1475 уникални имена на домейни, които се преобразуват в този IP адрес, включително имена като:

ac-pay2day.net
ac-payfit.com
as-manypay.com
fletkass.net
as-magicpay.com
и т.н.

Както виждаме, пасивният DNS ви позволява бързо и ефективно да събирате данни за изследвания ресурс и дори да изградите вид пръстов отпечатък, който ви позволява да разкриете цяла схема за кражба на лични данни, от получаването им до вероятното място на продажба.

Фигура 7. Карта на изследваната система

Не всичко е толкова розово, колкото ни се иска. Например такива разследвания могат лесно да се провалят в CloudFlare или подобни услуги. А ефективността на събраната база данни до голяма степен зависи от броя DNS заявки, преминаващи през модула за събиране на пасивни DNS данни. Но въпреки това пасивният DNS е източник на допълнителна информация за изследователя.

Автор: Специалист от Уралския център за системи за сигурност

Източник: www.habr.com

Пасивен DNS в ръцете на анализатор

Използване на пасивен DNS

Проучване на връзка от имейл чрез пасивен DNS

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар