Ang Sistema sa Ngalan sa Domain (DNS) sama sa usa ka libro sa telepono nga naghubad sa mga ngalan nga mahigalaon sa gumagamit sama sa "ussc.ru" sa mga adres sa IP. Tungod kay ang kalihokan sa DNS anaa sa halos tanan nga mga sesyon sa komunikasyon, bisan unsa pa ang protocol. Busa, ang DNS logging usa ka bililhon nga tinubdan sa datos alang sa mga espesyalista sa seguridad sa impormasyon, nga nagtugot kanila sa pag-ila sa mga anomaliya o pagkuha og dugang nga datos mahitungod sa sistema nga gitun-an.
Kaniadtong 2004, gisugyot ni Florian Weimer ang usa ka pamaagi sa pag-log nga gitawag nga Passive DNS, nga nagtugot kanimo nga ibalik ang kasaysayan sa mga pagbag-o sa datos sa DNS nga adunay katakus sa pag-index ug pagpangita, nga makahatag access sa mga mosunod nga datos:
- Ngalan sa domain
- IP address sa gihangyo nga domain name
- Petsa ug oras sa pagtubag
- Uri sa tubag
- ug uban pa.
Ang datos alang sa Passive DNS gikolekta gikan sa recursive DNS servers pinaagi sa built-in modules o pinaagi sa pag-intercept sa mga tubag gikan sa DNS servers nga responsable sa zone.
Figure 1. Passive DNS (gikuha gikan sa site )
Ang usa ka bahin sa Passive DNS mao nga dili kinahanglan nga irehistro ang IP address sa kliyente, nga makatabang sa pagpanalipod sa privacy sa gumagamit.
Sa pagkakaron, adunay daghang mga serbisyo nga naghatag access sa Passive DNS data:
Lig-on
Farsight Security
VirusTotal
Riskiq
Luwas nga mga Luwas
SecurityTrails
Cisco
Pag-access
Sa hangyo
Wala magkinahanglan og pagparehistro
Libre ang pagparehistro
Sa hangyo
Wala magkinahanglan og pagparehistro
Sa hangyo
API
Present
Present
Present
Present
Present
Present
Ang pagkaanaa sa usa ka kliyente
Present
Present
Present
Dili
Dili
Dili
Pagsugod sa pagkolekta sa datos
2010 nga tuig
2013 nga tuig
2009 nga tuig
Nagpakita lang sa miaging 3 ka bulan
2008 nga tuig
2006 nga tuig
Talaan 1. Mga serbisyo nga adunay access sa Passive DNS data
Gamita ang mga Kaso para sa Passive DNS
Gamit ang Passive DNS makahimo ka og mga koneksyon tali sa mga domain name, NS server ug IP address. Gitugotan ka niini sa paghimo og mga mapa sa mga sistema nga gitun-an ug pagsubay sa mga pagbag-o sa ingon nga mapa gikan sa una nga pagkadiskobre hangtod sa karon nga higayon.
Ang passive DNS nagpadali usab sa pag-ila sa mga anomaliya sa trapiko. Pananglitan, ang pagsubay sa mga pagbag-o sa mga NS zone ug mga rekord sa tipo A ug AAAA nagtugot kanimo sa pag-ila sa mga malisyosong site nga naggamit sa paspas nga paagi sa pag-uswag, nga gidisenyo aron itago ang C&C gikan sa pag-ila ug pagbabag. Tungod kay ang mga lehitimong domain name (gawas sa gigamit alang sa pagbalanse sa load) dili mag-usab sa ilang mga IP address kanunay, ug ang kadaghanan sa mga lehitimong zone panagsa ra mag-ilis sa ilang mga NS server.
Ang passive DNS, sukwahi sa direkta nga pagpangita sa mga subdomain gamit ang mga diksyonaryo, nagtugot kanimo nga makit-an bisan ang labing lahi nga mga ngalan sa domain, pananglitan "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Kini usab usahay nagtugot kanimo sa pagpangita sa pagsulay (ug huyang) nga mga dapit sa website, mga materyales sa developer, ug uban pa.
Pagsiksik sa usa ka link gikan sa usa ka email gamit ang Passive DNS
Sa pagkakaron, ang spam mao ang usa sa mga nag-unang paagi diin ang tig-atake makasulod sa kompyuter sa biktima o mangawat sa kompidensyal nga impormasyon. Atong sulayan nga susihon ang link gikan sa ingon nga sulat gamit ang Passive DNS aron masusi ang pagka-epektibo niini nga pamaagi.
Hulagway 2. Spam email
Ang link gikan sa kini nga sulat mitultol sa site magnit-boss.rocks, nga nagtanyag nga awtomatiko nga mangolekta mga bonus ug makadawat salapi:
Figure 3. Panid nga gi-host sa domain nga magnit-boss.rocks
Sa pagtuon niini nga site, akong gigamit , nga aduna nay 3 ka andam nga mga kliyente sa , ΠΈ .
Una sa tanan, mahibal-an namon ang tibuuk nga kasaysayan sa kini nga ngalan sa domain, alang niini gamiton namon ang mando:
pt-client pdns βquery magnet-boss.rocks
Kini nga sugo magpakita sa impormasyon mahitungod sa tanang DNS nga mga solusyon nga nalangkit niini nga domain name.
Figure 4. Tubag gikan sa Riskiq API
Atong ibutang ang tubag gikan sa API ngadto sa mas biswal nga porma:
Figure 5. Tanan nga mga entri gikan sa tubag
Alang sa dugang nga panukiduki, among gikuha ang mga IP address diin kini nga domain name nasulbad sa panahon nga ang sulat nadawat sa 01.08.2019/92.119.113.112/85.143.219.65, ang maong mga IP address mao ang mosunod nga mga adres XNUMX ug XNUMX.
Gamit ang command:
pt-client pdns --query
mahimo nimong makuha ang tanan nga mga ngalan sa domain nga adunay kalabotan sa kini nga mga adres sa IP.
Ang IP address nga 92.119.113.112 adunay 42 ka talagsaon nga domain name nga nagsulbad niini nga IP address, lakip niini ang mosunod nga mga ngalan:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- ug uban pa
Ang IP address 85.143.219.65 adunay 44 ka talagsaon nga mga ngalan sa domain nga nagsulbad niini nga IP address, diin ang mosunod nga mga ngalan:
- cvv2.name (site para sa pagbaligya sa datos sa credit card)
- emaills.world
- www.mailru.space
- ug uban pa
Ang mga koneksyon sa kini nga mga ngalan sa domain nagsugyot sa phishing, apan kami nagtuo sa maayong mga tawo, busa sulayan naton nga makakuha usa ka bonus nga 332 nga mga rubles? Pagkahuman sa pag-klik sa buton nga "OO", gihangyo kami sa site nga ibalhin ang 501.72 nga mga rubles gikan sa kard aron maablihan ang account ug ipadala kami sa site nga as-torpay.info aron makasulod sa datos.
Figure 6. Panimalay nga panid sa site ac-pay2day.net
Morag usa ka ligal nga site, adunay usa ka sertipiko sa https, ug ang panguna nga panid nagtanyag aron makonektar kini nga sistema sa pagbayad sa imong site, apan, alaut, ang tanan nga mga link aron makonektar dili molihok. Kini nga ngalan sa domain nasulbad sa usa lamang ka IP address - 1. Kini, sa baylo, adunay 190.115.19.74 nga talagsaon nga mga ngalan sa domain nga nagsulbad niini nga IP address, lakip ang mga ngalan sama sa:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- ug uban pa
Sama sa among nakita, ang Passive DNS nagtugot kanimo nga dali ug episyente nga mangolekta mga datos bahin sa kapanguhaan nga gitun-an ug bisan ang paghimo og usa ka matang sa fingerprint nga nagtugot kanimo sa pagdiskubre sa usa ka tibuuk nga laraw sa pagpangawat sa personal nga datos, gikan sa resibo niini hangtod sa posible nga lugar sa pagbaligya.
Figure 7. Mapa sa sistema nga gitun-an
Dili tanan sama ka rosy sa atong gusto. Pananglitan, ang maong mga imbestigasyon daling mapakyas sa CloudFlare o susamang mga serbisyo. Ug ang pagka-epektibo sa nakolekta nga database nagdepende pag-ayo sa gidaghanon sa mga hangyo sa DNS nga moagi sa module alang sa pagkolekta sa Passive DNS data. Apan bisan pa, ang Passive DNS usa ka gigikanan sa dugang nga kasayuran alang sa tigdukiduki.
Awtor: Espesyalista sa Ural Center alang sa mga Sistema sa Seguridad
Source: www.habr.com