El sistema de noms de domini (DNS) és com una agenda telefònica que tradueix noms fàcils d'utilitzar com "ussc.ru" a adreces IP. Com que l'activitat DNS està present en gairebé totes les sessions de comunicació, independentment del protocol. Així, el registre DNS és una valuosa font de dades per als especialistes en seguretat de la informació, que els permet detectar anomalies o obtenir dades addicionals sobre el sistema en estudi.
L'any 2004, Florian Weimer va proposar un mètode de registre anomenat DNS passiu, que permet restaurar l'historial dels canvis de dades del DNS amb la possibilitat d'indexar i cercar, que pot proporcionar accés a les dades següents:
- Nom de domini
- Adreça IP del nom de domini sol·licitat
- Data i hora de resposta
- Tipus de resposta
- etcètera
Les dades per al DNS passiu es recullen dels servidors DNS recursius mitjançant mòduls integrats o interceptant respostes dels servidors DNS responsables de la zona.
Figura 1. DNS passiu (pres del lloc )
Una característica del DNS passiu és que no cal registrar l'adreça IP del client, cosa que ajuda a protegir la privadesa de l'usuari.
Actualment, hi ha molts serveis que proporcionen accés a dades DNS passius:
empresa
Seguretat de llunyania
VirusTotal
Riskiq
SafeDNS
Senders de seguretat
Cisco
Accés
A demanda
No requereix registre
La inscripció és gratuïta
A demanda
No requereix registre
A demanda
API
Present
Present
Present
Present
Present
Present
Disponibilitat d'un client
Present
Present
Present
Absent
Absent
Absent
Inici de la recollida de dades
2010 anys
2013 anys
2009 anys
Mostra només els darrers 3 mesos
2008 anys
2006 anys
Taula 1. Serveis amb accés a dades DNS passius
Casos d'ús per a DNS passiu
Mitjançant el DNS passiu podeu crear connexions entre noms de domini, servidors NS i adreces IP. Això us permet construir mapes dels sistemes en estudi i fer un seguiment dels canvis en aquest mapa des del primer descobriment fins al moment actual.
El DNS passiu també facilita la detecció d'anomalies de trànsit. Per exemple, el seguiment dels canvis a les zones NS i els registres de tipus A i AAAA us permet identificar llocs maliciosos que utilitzen el mètode de flux ràpid, dissenyat per ocultar C&C de la detecció i el bloqueig. Perquè els noms de domini legítims (excepte els utilitzats per a l'equilibri de càrrega) no canviaran sovint les seves adreces IP i la majoria de les zones legítimes rarament canvien els seus servidors NS.
El DNS passiu, a diferència de la cerca directa de subdominis mitjançant diccionaris, us permet trobar fins i tot els noms de domini més exòtics, per exemple "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". De vegades també us permet trobar àrees de prova (i vulnerables) del lloc web, materials per a desenvolupadors, etc.
Investigant un enllaç d'un correu electrònic mitjançant DNS passiu
Actualment, el correu brossa és una de les principals vies per les quals un atacant penetra l'ordinador d'una víctima o roba informació confidencial. Intentem examinar l'enllaç d'una carta amb DNS passiu per avaluar l'eficàcia d'aquest mètode.
Figura 2. Correu brossa
L'enllaç d'aquesta carta portava al lloc magnit-boss.rocks, que oferia recollir bonificacions i rebre diners automàticament:
Figura 3. Pàgina allotjada al domini magnit-boss.rocks
Per estudiar aquest lloc, vaig utilitzar , que ja té 3 clients preparats , и .
En primer lloc, descobrirem tot l'historial d'aquest nom de domini, per a això utilitzarem l'ordre:
pt-client pdns —consulta magnet-boss.rocks
Aquesta ordre mostrarà informació sobre totes les resolucions de DNS associades amb aquest nom de domini.
Figura 4. Resposta de l'API Riskiq
Posem la resposta de l'API en una forma més visual:
Figura 5. Totes les entrades de la resposta
Per a una investigació més detallada, vam agafar les adreces IP a les quals va resoldre aquest nom de domini en el moment de rebre la carta el 01.08.2019/92.119.113.112/85.143.219.65, aquestes adreces IP són les següents adreces XNUMX i XNUMX.
Utilitzant l'ordre:
pt-client pdns --query
podeu obtenir tots els noms de domini associats a aquestes adreces IP.
L'adreça IP 92.119.113.112 té 42 noms de domini únics que es resolen en aquesta adreça IP, entre els quals hi ha els noms següents:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- i altres
L'adreça IP 85.143.219.65 té 44 noms de domini únics que es resolen en aquesta adreça IP, entre els quals hi ha els noms següents:
- cvv2.name (lloc per vendre dades de targetes de crèdit)
- emaills.world
- www.mailru.space
- i altres
Les connexions amb aquests noms de domini suggereixen phishing, però creiem en bona gent, així que intentem obtenir una bonificació de 332 rubles? Després de fer clic al botó "SÍ", el lloc ens demana que transferim 501.72 rubles de la targeta per desbloquejar el compte i ens envia al lloc as-torpay.info per introduir dades.
Figura 6. Pàgina d'inici del lloc ac-pay2day.net
Sembla un lloc legal, hi ha un certificat https i la pàgina principal ofereix connectar aquest sistema de pagament al vostre lloc, però, per desgràcia, tots els enllaços per connectar no funcionen. Aquest nom de domini només es resol a una adreça IP: 1. Al seu torn, té 190.115.19.74 noms de domini únics que es resolen amb aquesta adreça IP, inclosos noms com ara:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- i altres
Com podem veure, Passive DNS permet recollir de manera ràpida i eficient dades sobre el recurs en estudi i fins i tot construir una mena d'empremta digital que permet descobrir tot un esquema de robatori de dades personals, des de la seva recepció fins al probable lloc de venda.
Figura 7. Mapa del sistema en estudi
No tot és tan rosat com voldríem. Per exemple, aquestes investigacions poden fallar fàcilment a CloudFlare o serveis similars. I l'eficàcia de la base de dades recollida depèn en gran mesura del nombre de sol·licituds de DNS que passen pel mòdul per recopilar dades de DNS passius. No obstant això, el DNS passiu és una font d'informació addicional per a l'investigador.
Autor: Especialista del Centre Ural de Sistemes de Seguretat
Font: www.habr.com