Domain Name System (DNS) er som en telefonbog, der oversætter brugervenlige navne som "ussc.ru" til IP-adresser. Da DNS-aktivitet er til stede i næsten alle kommunikationssessioner, uanset protokollen. DNS-logning er således en værdifuld datakilde for informationssikkerhedsspecialisten, som giver dem mulighed for at opdage uregelmæssigheder eller indhente yderligere data om det system, der undersøges.
I 2004 foreslog Florian Weimer en logningsmetode kaldet Passive DNS, som giver dig mulighed for at gendanne historikken for DNS-dataændringer med mulighed for at indeksere og søge, hvilket kan give adgang til følgende data:
- Domænenavn
- IP-adressen på det anmodede domænenavn
- Dato og tidspunkt for svar
- Svartype
- etc.
Data til passiv DNS indsamles fra rekursive DNS-servere ved hjælp af indbyggede moduler eller ved at opsnappe svar fra DNS-servere, der er ansvarlige for zonen.
Figur 1. Passiv DNS (taget fra webstedet )
Det særlige ved passiv DNS er, at der ikke er behov for at registrere klientens IP-adresse, hvilket hjælper med at beskytte brugernes privatliv.
I øjeblikket er der mange tjenester, der giver adgang til passive DNS-data:
selskab
Farsight Sikkerhed
VirusTotal
Riskiq
Sikker DNS
Sikkerhedsstier
Cisco
Adgang
På forespørgsel
Kræver ikke tilmelding
Tilmelding er gratis
På forespørgsel
Kræver ikke tilmelding
På forespørgsel
API
Til stede
Til stede
Til stede
Til stede
Til stede
Til stede
Kundetilstedeværelse
Til stede
Til stede
Til stede
Ingen
Ingen
Ingen
Start af dataindsamling
2010 år
2013 år
2009 år
Viser kun de seneste 3 måneder
2008 år
2006 år
Tabel 1. Tjenester med adgang til passive DNS-data
Use cases for passiv DNS
Ved hjælp af passiv DNS kan du opbygge relationer mellem domænenavne, NS-servere og IP-adresser. Dette giver dig mulighed for at bygge kort over de undersøgte systemer og spore ændringer i et sådant kort fra den første opdagelse til det aktuelle øjeblik.
Passiv DNS gør det også nemmere at opdage uregelmæssigheder i trafikken. For eksempel giver sporing af ændringer i NS-zoner og registreringer af type A og AAAA dig mulighed for at identificere ondsindede websteder ved hjælp af den hurtige flux-metode, designet til at skjule C&C fra opdagelse og blokering. Fordi legitime domænenavne (med undtagelse af dem, der bruges til belastningsbalancering) ikke vil ændre deres IP-adresser ofte, og de fleste legitime zoner ændrer sjældent deres NS-servere.
Passiv DNS, i modsætning til direkte optælling af underdomæner ved hjælp af ordbøger, giver dig mulighed for at finde selv de mest eksotiske domænenavne, for eksempel "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Det giver dig også nogle gange mulighed for at finde test- (og sårbare) områder på webstedet, udviklermaterialer osv.
Undersøgelse af et link fra en e-mail ved hjælp af passiv DNS
I øjeblikket er spam en af de vigtigste måder, hvorpå en angriber trænger ind på et offers computer eller stjæler fortrolige oplysninger. Lad os prøve at undersøge linket fra sådan en e-mail ved hjælp af passiv DNS for at evaluere effektiviteten af denne metode.
Figur 2. Spam-e-mail
Linket fra dette brev førte til webstedet magnit-boss.rocks, som tilbød automatisk at indsamle bonusser og modtage penge:
Figur 3. Side hostet på domænet magnit-boss.rocks
Til undersøgelsen af dette websted blev brugt , som allerede har 3 færdige klienter på , и .
Først og fremmest vil vi finde ud af hele historien om dette domænenavn, til dette vil vi bruge kommandoen:
pt-client pdns --forespørgsel magnit-boss.rocks
Denne kommando returnerer information om alle DNS-opløsninger forbundet med dette domænenavn.
Figur 4. Svar fra Riskiq API
Lad os bringe svaret fra API til en mere visuel form:
Figur 5. Alle indtastninger fra svaret
For yderligere forskning tog vi de IP-adresser, som dette domænenavn havde løst til på det tidspunkt, hvor brevet blev modtaget den 01.08.2019/92.119.113.112/85.143.219.65, sådanne IP-adresser er følgende adresser XNUMX og XNUMX.
Ved hjælp af kommandoen:
pt-klient pdns --forespørgsel
du kan få alle de domænenavne, der er knyttet til givne IP-adresser.
IP-adressen 92.119.113.112 har 42 unikke domænenavne, der er løst til denne IP-adresse, blandt dem er følgende navne:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- og andre
IP-adressen 85.143.219.65 har 44 unikke domænenavne, der er løst til denne IP-adresse, blandt dem er følgende navne:
- cvv2.name (websted til salg af kreditkortdata)
- emaills.world
- www.mailru.space
- og andre
Forbindelser med disse domænenavne fører til phishing, men vi tror på venlige mennesker, så lad os prøve at få en bonus på 332 rubler? Efter at have klikket på knappen "JA", beder webstedet os om at overføre 501.72 rubler fra kortet for at låse op for kontoen og sender os til webstedet as-torpay.info for at indtaste data.
Figur 6. Hovedsiden på webstedet ac-pay2day.net
Det ligner et lovligt websted, der er et https-certifikat, og hovedsiden tilbyder at forbinde dette betalingssystem til dit websted, men desværre virker alle links til at forbinde ikke. Dette domænenavn giver kun 1 ip-adresse - 190.115.19.74. Det har til gengæld 1475 unikke domænenavne, der overføres til denne IP-adresse, herunder navne som:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- og andre
Som vi kan se, giver passiv DNS dig mulighed for hurtigt og effektivt at indsamle data om den ressource, der undersøges, og endda bygge en slags aftryk, der giver dig mulighed for at afdække hele ordningen for at stjæle personlige data, fra dens modtagelse til det sandsynlige salgssted.
Figur 7. Kort over det undersøgte system
Ikke alt er så rosenrødt, som vi gerne ville. For eksempel kan sådanne undersøgelser nemt gå i stykker på CloudFlare eller lignende tjenester. Og effektiviteten af den indsamlede database er meget afhængig af antallet af DNS-forespørgsler, der passerer gennem modulet til indsamling af passive DNS-data. Ikke desto mindre er Passiv DNS en kilde til yderligere information for forskeren.
Forfatter: Specialist i Ural Center for Sikkerhedssystemer
Kilde: www.habr.com