Sistem imena domena (DNS) je poput telefonskog imenika koji prevodi korisnička imena poput "ussc.ru" u IP adrese. Budući da je DNS aktivnost prisutna u gotovo svim komunikacijskim sesijama, bez obzira na protokol. Stoga je DNS evidentiranje vrijedan izvor podataka za stručnjake za sigurnost informacija, omogućavajući im da otkriju anomalije ili dobiju dodatne podatke o sistemu koji se proučava.
Florian Weimer je 2004. godine predložio metodu evidentiranja pod nazivom Pasivni DNS, koja vam omogućava da vratite historiju promjena DNS podataka uz mogućnost indeksiranja i pretraživanja, što može omogućiti pristup sljedećim podacima:
- Ime domena
- IP adresa traženog naziva domene
- Datum i vrijeme odgovora
- Vrsta odgovora
- i tako dalje.
Podaci za pasivni DNS se prikupljaju sa rekurzivnih DNS servera pomoću ugrađenih modula ili presretanja odgovora sa DNS servera odgovornih za zonu.
Slika 1. Pasivni DNS (preuzeto sa stranice )
Karakteristika pasivnog DNS-a je da nema potrebe da se registruje IP adresa klijenta, što pomaže u zaštiti privatnosti korisnika.
Trenutno postoji mnogo usluga koje pružaju pristup pasivnim DNS podacima:
Firma
Farsight Security
VirusTotal
Riskiq
SafeDNS
SecurityTrails
Cisco
Pristup
Na zahtjev
Ne zahtijeva registraciju
Registracija je besplatna
Na zahtjev
Ne zahtijeva registraciju
Na zahtjev
API
Prisutan
Prisutan
Prisutan
Prisutan
Prisutan
Prisutan
Dostupnost klijenta
Prisutan
Prisutan
Prisutan
Nijedan
Nijedan
Nijedan
Početak prikupljanja podataka
2010 godina
2013 godina
2009 godina
Prikazuje samo posljednja 3 mjeseca
2008 godina
2006 godina
Tabela 1. Usluge s pristupom pasivnim DNS podacima
Slučajevi upotrebe za pasivni DNS
Koristeći pasivni DNS možete izgraditi veze između imena domena, NS servera i IP adresa. Ovo vam omogućava da napravite karte sistema koji se proučavaju i da pratite promjene na takvoj karti od prvog otkrića do trenutnog trenutka.
Pasivni DNS takođe olakšava otkrivanje saobraćajnih anomalija. Na primjer, praćenje promjena u NS zonama i zapisima tipa A i AAAA omogućava vam da identificirate zlonamjerne stranice koje koriste metodu brzog protoka, dizajniranu da sakriju C&C od otkrivanja i blokiranja. Zato što legitimna imena domena (osim onih koji se koriste za balansiranje opterećenja) neće često mijenjati svoje IP adrese, a većina legitimnih zona rijetko mijenja svoje NS servere.
Pasivni DNS, za razliku od direktnog pretraživanja poddomena pomoću rječnika, omogućava vam da pronađete čak i najegzotičnije nazive domena, na primjer “222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. Također vam ponekad omogućava da pronađete testirana (i ranjiva) područja web stranice, materijale za programere itd.
Istraživanje veze iz e-pošte pomoću pasivnog DNS-a
Trenutno je neželjena pošta jedan od glavnih načina na koji napadač prodire u računar žrtve ili krade povjerljive informacije. Pokušajmo da ispitamo vezu iz takvog pisma koristeći pasivni DNS da bismo procijenili efikasnost ove metode.
Slika 2. Spam email
Veza iz ovog pisma vodila je do stranice magnit-boss.rocks, koja je ponudila automatsko prikupljanje bonusa i primanje novca:
Slika 3. Stranica koja se nalazi na domeni magnit-boss.rocks
Za proučavanje ove stranice koristio sam , koji već ima uključena 3 gotova klijenta , и .
Prije svega, saznat ćemo cijelu povijest ovog imena domene, za to ćemo koristiti naredbu:
pt-client pdns —upit magnet-boss.rocks
Ova komanda će prikazati informacije o svim rešenjima DNS-a povezanih sa ovim imenom domene.
Slika 4. Odgovor Riskiq API-ja
Stavimo odgovor iz API-ja u vizualniji oblik:
Slika 5. Svi unosi iz odgovora
Za dalje istraživanje uzeli smo IP adrese na koje se ovaj naziv domene razriješio u trenutku kada je pismo primljeno 01.08.2019., te IP adrese su sljedeće adrese 92.119.113.112 i 85.143.219.65.
Koristeći naredbu:
pt-client pdns --upit
možete dobiti sva imena domena koja su povezana sa ovim IP adresama.
IP adresa 92.119.113.112 ima 42 jedinstvena imena domena koja se razlučuju na ovu IP adresu, među kojima su i sljedeća imena:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- i drugi
IP adresa 85.143.219.65 ima 44 jedinstvena imena domena koja se rješavaju na ovu IP adresu, među kojima su sljedeća imena:
- cvv2.name (stranica za prodaju podataka o kreditnim karticama)
- emails.world
- www.mailru.space
- i drugi
Veze sa ovim imenima domena sugerišu phishing, ali mi verujemo u dobre ljude, pa hajde da pokušamo da dobijemo bonus od 332 rubalja? Nakon što kliknemo na dugme „DA“, stranica od nas traži da prenesemo 501.72 rubalja sa kartice za otključavanje računa i šalje nas na stranicu as-torpay.info da unesemo podatke.
Slika 6. Početna stranica stranice ac-pay2day.net
Izgleda kao legalna stranica, postoji https certifikat, a glavna stranica nudi povezivanje ovog sistema plaćanja sa vašom web lokacijom, ali, nažalost, svi linkovi za povezivanje ne rade. Ovo ime domene rješava samo 1 IP adresu - 190.115.19.74. On, zauzvrat, ima 1475 jedinstvenih imena domena koji se razlučuju na ovu IP adresu, uključujući imena kao što su:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- i drugi
Kao što vidimo, pasivni DNS vam omogućava da brzo i efikasno prikupite podatke o izvoru koji se proučava, pa čak i da napravite neku vrstu otiska prsta koji vam omogućava da otkrijete čitavu šemu za krađu ličnih podataka, od njihovog prijema do mogućeg mesta prodaje.
Slika 7. Mapa sistema koji se proučava
Nije sve tako ružičasto kako bismo željeli. Na primjer, takve istrage mogu lako propasti na CloudFlare ili sličnim servisima. A efikasnost prikupljene baze podataka u velikoj meri zavisi od broja DNS zahteva koji prolaze kroz modul za prikupljanje pasivnih DNS podataka. Ali ipak, pasivni DNS je izvor dodatnih informacija za istraživača.
Autor: Specijalista Uralskog centra za sigurnosne sisteme
izvor: www.habr.com