U Domain Name System (DNS) hè cum'è un annuariu telefuninu chì traduce nomi amichevuli cum'è "ussc.ru" in indirizzi IP. Siccomu l'attività DNS hè presente in quasi tutte e sessioni di cumunicazione, indipendentemente da u protocolu. Cusì, u logu DNS hè una preziosa fonte di dati per i specialisti di sicurezza di l'infurmazioni, chì li permettenu di detectà anomalie o ottene dati supplementari nantu à u sistema studiatu.
In u 2004, Florian Weimer hà prupostu un metudu di logu chjamatu DNS passivu, chì permette di restaurà a storia di i cambiamenti di dati DNS cù a capacità di indexà è di ricerca, chì ponu furnisce l'accessu à i seguenti dati:
- Nome di duminiu
- Indirizzu IP di u nome di duminiu dumandatu
- Data è ora di risposta
- Tipu di risposta
- è cusì.
I dati per u DNS passivu sò recullati da i servitori DNS recursivi per moduli integrati o interceptendu risposte da i servitori DNS rispunsevuli di a zona.
Figura 1. DNS passivu (pigliatu da u situ
Una caratteristica di Passive DNS hè chì ùn ci hè micca bisognu di registrà l'indirizzu IP di u cliente, chì aiuta à prutege a privacy di l'utilizatori.
À u mumentu, ci sò parechji servizii chì furnisce l'accessu à i dati DNS passivi:
A cumpagnia
Farsight Security
VirusTotal
Riskiq
SafeDNS
Tracce di sicurezza
Cisco
Accessu
Su richiesta
Ùn hè micca bisognu di registrazione
A iscrizzione hè gratuita
Su richiesta
Ùn hè micca bisognu di registrazione
Su richiesta
API
Presente
Presente
Presente
Presente
Presente
Presente
Disponibilità di un cliente
Presente
Presente
Presente
No
No
No
U principiu di a cullizzioni di dati
2010 yr
2013 yr
2009 yr
Mostra solu l'ultimi 3 mesi
2008 yr
2006 yr
Table 1. Servizi cù accessu à dati DNS passivi
Casi d'usu per DNS passivu
Utilizendu DNS passivu pudete custruisce cunnessione trà nomi di duminiu, servitori NS è indirizzi IP. Questu permette di custruisce carte di i sistemi in studiu è seguità i cambiamenti in una tale mappa da a prima scuperta à u mumentu attuale.
U DNS passivu facilita ancu a rilevazione di anomalie di trafficu. Per esempiu, u seguimentu di i cambiamenti in i zoni NS è i registri di tipu A è AAAA permette di identificà siti maliziusi chì utilizanu u metudu di flussu veloce, pensatu per ammuccià C&C da a deteczione è u bluccatu. Perchè i nomi di duminiu legittimi (eccettu quelli chì sò usati per l'equilibriu di carica) ùn cambianu micca spessu i so indirizzi IP, è a maiò parte di e zone legittimi raramente cambianu i so servitori NS.
DNS passivu, in cuntrastu à a ricerca diretta di subdomini cù dizziunari, permette di truvà ancu i nomi di duminiu più esoticu, per esempiu "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". A volte permette ancu di truvà spazii di prova (è vulnerabili) di u situ web, materiali di sviluppatore, etc.
Ricerca di un ligame da un email utilizendu DNS passivu
Attualmente, u puzzicheghju hè unu di i modi principali per quale un attaccu penetra in l'urdinatore di a vittima o robba infurmazione cunfidenziale. Pruvemu di esaminà u ligame da una tale lettera utilizendu DNS Passivi per evaluà l'efficacità di stu metudu.
Figura 2. Spam email
U ligame da sta lettera hà purtatu à u situ magnit-boss.rocks, chì offre à cullà automaticamente bonus è riceve soldi:
Figura 3. Pagina ospitata nantu à u duminiu magnit-boss.rocks
Per studià stu situ, aghju utilizatu
Prima di tuttu, scupreremu tutta a storia di stu nome di duminiu, per questu avemu aduprà u cumandamentu:
pt-client pdns - query magnet-boss.rocks
Stu cumandamentu mostrarà infurmazione nantu à tutte e risolve DNS assuciate cù stu nome di duminiu.
Figura 4. Risposta da Riskiq API
Pudemu a risposta da l'API in una forma più visuale:
Figura 5. Tutte e entrate da a risposta
Per più ricerca, avemu pigliatu l'indirizzi IP à quale stu nome di duminiu risolta à u mumentu chì a lettera hè stata ricevuta u 01.08.2019/92.119.113.112/85.143.219.65, tali indirizzi IP sò i seguenti indirizzi XNUMX è XNUMX.
Utilizendu u cumandimu:
pt-client pdns --query
pudete piglià tutti i nomi di duminiu chì sò assuciati cù questi indirizzi IP.
L'indirizzu IP 92.119.113.112 hà 42 nomi di duminiu unichi chì risolvenu à questu indirizzu IP, trà quale sò i seguenti nomi:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- è altri
L'indirizzu IP 85.143.219.65 hà 44 nomi di duminiu unichi chì risolvenu à questu indirizzu IP, trà quale sò i seguenti nomi:
- cvv2.name (situ per a vendita di dati di carte di creditu)
- emaills.world
- www.mailru.space
- è altri
Cunnessioni cù questi nomi di duminiu suggerenu phishing, ma avemu cridutu in bona ghjente, allora avemu da pruvà à ottene un bonus di 332 rubles? Dopu à cliccà nant'à u buttone "Sì", u situ dumanda à noi di trasfiriri 501.72 rubles da a carta di sbloccare u contu è ci manda à u situ as-torpay.info à entre dati.
Figura 6. Pagina iniziale di u situ ac-pay2day.net
Sembra un situ legale, ci hè un certificatu https, è a pagina principale prupone per cunnette stu sistema di pagamentu à u vostru situ, ma, sfurtunatamenti, tutti i ligami per cunnette ùn funziona micca. Stu nomu duminiu risolve à solu 1 indirizzu IP - 190.115.19.74. Hè, à u turnu, hà 1475 nomi di duminiu unichi chì risolvenu à questu indirizzu IP, cumprese nomi cum'è:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- è altri
Comu pudemu vede, Passive DNS permette di cullà rapidamente è efficacimente e dati nantu à a risorsa studiata è ancu di custruisce un tipu d'impronta digitale chì vi permette di scopre un schema tutale per arrubà e dati persunali, da u so ricivutu à u locu prubabile di vendita.
Figura 7. Mappa di u sistema in studiu
Micca tuttu hè rosu cum'è vuleriamu. Per esempiu, tali investigazioni ponu facilmente falla in CloudFlare o servizii simili. È l'efficacità di a basa di dati recullata dipende assai da u numeru di dumande DNS chì passanu per u modulu per a cullizzioni di dati DNS passivi. Tuttavia, u DNS passivu hè una fonte di informazioni supplementari per u ricercatore.
Autore: Specialist of the Ural Center for Security Systems
Source: www.habr.com