Domain Name System (DNS) je jako telefonní seznam, který překládá uživatelsky přívětivá jména jako „ussc.ru“ na IP adresy. Protože aktivita DNS je přítomna téměř ve všech komunikačních relacích, bez ohledu na protokol. Protokolování DNS je pro specialistu na informační bezpečnost cenným zdrojem dat, který jim umožňuje odhalit anomálie nebo získat další data o zkoumaném systému.
V roce 2004 Florian Weimer navrhl metodu protokolování nazvanou Passive DNS, která umožňuje obnovit historii změn dat DNS s možností indexování a vyhledávání, což může poskytnout přístup k následujícím datům:
- Název domény
- IP adresa požadovaného názvu domény
- Datum a čas odpovědi
- Typ odpovědi
- atd.
Data pro pasivní DNS se shromažďují z rekurzivních serverů DNS pomocí vestavěných modulů nebo zachycováním odpovědí serverů DNS odpovědných za zónu.
Obrázek 1. Pasivní DNS (převzato z webu )
Zvláštností pasivního DNS je, že není potřeba registrovat IP adresu klienta, což pomáhá chránit soukromí uživatelů.
V současné době existuje mnoho služeb, které poskytují přístup k pasivním DNS datům:
společnost
Dalekozraké zabezpečení
VirusTotal
Riskiq
SafeDNS
bezpečnostní stezky
Cisco
Přístup
Na vyžádání
Nevyžaduje registraci
Registrace je zdarma
Na vyžádání
Nevyžaduje registraci
Na vyžádání
API
Prezentujte
Prezentujte
Prezentujte
Prezentujte
Prezentujte
Prezentujte
Přítomnost zákazníka
Prezentujte
Prezentujte
Prezentujte
Ne
Ne
Ne
Zahájení sběru dat
2010 rok
2013 rok
2009 rok
Zobrazuje pouze poslední 3 měsíce
2008 rok
2006 rok
Tabulka 1. Služby s přístupem k datům pasivního DNS
Příklady použití pro pasivní DNS
Pomocí pasivního DNS můžete budovat vztahy mezi názvy domén, NS servery a IP adresami. To vám umožňuje vytvářet mapy studovaných systémů a sledovat změny v takové mapě od prvního objevu až do současného okamžiku.
Pasivní DNS také usnadňuje detekci anomálií v provozu. Například sledování změn v zónách NS a záznamech typu A a AAAA vám umožňuje identifikovat škodlivé stránky pomocí metody rychlého toku, která je navržena tak, aby skryla C&C před detekcí a blokováním. Protože legitimní názvy domén (s výjimkou těch, které se používají pro vyrovnávání zátěže) nemění své IP adresy často a většina legitimních zón své NS servery mění jen zřídka.
Pasivní DNS, na rozdíl od přímého výčtu subdomén pomocí slovníků, vám umožňuje najít i ty nejexotičtější názvy domén, například „222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru“. Někdy vám také umožňuje najít testovací (a zranitelné) oblasti webu, vývojářské materiály atd.
Zkoumání odkazu z e-mailu pomocí pasivního DNS
V současnosti je spam jedním z hlavních způsobů, jak útočník proniká do počítače oběti nebo odcizí důvěrné informace. Zkusme prozkoumat odkaz z takového emailu pomocí pasivního DNS, abychom vyhodnotili efektivitu této metody.
Obrázek 2. Spamový e-mail
Odkaz z tohoto dopisu vedl na stránku magnit-boss.rocks, která nabízela automatické vybírání bonusů a přijímání peněz:
Obrázek 3. Stránka hostovaná na doméně magnit-boss.rocks
Pro studium tohoto webu bylo použito , která má na sobě již 3 hotové klienty , и .
Nejprve zjistíme celou historii tohoto doménového jména, k tomu použijeme příkaz:
pt-client pdns --query magnit-boss.rocks
Tento příkaz vrátí informace o všech překladech DNS spojených s tímto názvem domény.
Obrázek 4. Odezva z Riskiq API
Pojďme přenést odpověď z API do vizuálnější podoby:
Obrázek 5. Všechny položky z odpovědi
Pro další výzkum jsme vzali IP adresy, na které bylo toto doménové jméno přeloženo v době, kdy byl dopis přijat dne 01.08.2019, tyto IP adresy jsou následující adresy 92.119.113.112 a 85.143.219.65.
Pomocí příkazu:
pt-client pdns --dotaz
můžete získat všechny názvy domén, které jsou spojeny s danými IP adresami.
Adresa IP 92.119.113.112 má 42 jedinečných názvů domén, které byly převedeny na tuto adresu IP, mezi nimiž jsou následující názvy:
- magnit-boss.klub
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- a etc
Adresa IP 85.143.219.65 má 44 jedinečných názvů domén, které byly převedeny na tuto adresu IP, mezi nimiž jsou následující názvy:
- cvv2.name (webová stránka pro prodej údajů o kreditních kartách)
- emaills.world
- www.mailru.space
- a etc
Spojení s těmito doménovými jmény vede k phishingu, ale věříme v laskavé lidi, takže zkusíme získat bonus 332 501.72 rublů? Po kliknutí na tlačítko „ANO“ nás web požádá o převod 300 rublů z karty k odemknutí účtu a pošle nás na web as-torpay.info, abychom zadali data.
Obrázek 6. Hlavní stránka webu ac-pay2day.net
Vypadá to jako legální stránka, existuje certifikát https a hlavní stránka nabízí připojení tohoto platebního systému k vašemu webu, ale bohužel všechny odkazy na připojení nefungují. Tento název domény se překládá pouze na 1 IP adresu – 190.115.19.74. Na druhé straně má 1475 jedinečných názvů domén, které se překládají na tuto IP adresu, včetně takových názvů jako:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- a etc
Jak vidíme, pasivní DNS vám umožňuje rychle a efektivně sbírat data o studovaném zdroji a dokonce vytvořit jakýsi otisk, který vám umožní odhalit celé schéma krádeže osobních údajů, od jejich přijetí až po pravděpodobné místo prodeje.
Obrázek 7. Mapa studovaného systému
Ne všechno je tak růžové, jak bychom si přáli. Taková vyšetřování se mohou například snadno zlomit na CloudFlare nebo podobných službách. A efektivita shromážděné databáze je velmi závislá na počtu DNS dotazů procházejících modulem pro sběr pasivních DNS dat. Přesto je pasivní DNS pro výzkumníka zdrojem dalších informací.
Autor: Specialista Uralského centra pro bezpečnostní systémy
Zdroj: www.habr.com