Das Domain Name System (DNS) ist wie ein Telefonbuch, das benutzerfreundliche Namen wie „ussc.ru“ in IP-Adressen übersetzt. Da DNS-Aktivität in fast allen Kommunikationssitzungen vorhanden ist, unabhängig vom Protokoll. Somit ist die DNS-Protokollierung eine wertvolle Datenquelle für den Informationssicherheitsspezialisten, die es ihm ermöglicht, Anomalien zu erkennen oder zusätzliche Daten über das untersuchte System zu erhalten.
Im Jahr 2004 schlug Florian Weimer eine Protokollierungsmethode namens Passive DNS vor, mit der Sie den Verlauf von DNS-Datenänderungen wiederherstellen können, mit der Möglichkeit zur Indizierung und Suche, wodurch Zugriff auf die folgenden Daten möglich ist:
- Domainname
- Die IP-Adresse des angeforderten Domänennamens
- Datum und Uhrzeit der Antwort
- Antworttyp
- usw.
Daten für passives DNS werden von rekursiven DNS-Servern durch integrierte Module oder durch Abfangen von Antworten von DNS-Servern gesammelt, die für die Zone verantwortlich sind.
Abbildung 1. Passives DNS (von der Website übernommen). )
Die Besonderheit von Passive DNS besteht darin, dass die IP-Adresse des Clients nicht registriert werden muss, was zum Schutz der Privatsphäre der Benutzer beiträgt.
Derzeit gibt es viele Dienste, die Zugriff auf passive DNS-Daten ermöglichen:
Unternehmen
Weitsicht-Sicherheit
VirusTotal
Riskiq
SafeDNS
Sicherheitspfade
Cisco
Zugang
Auf Anfrage
Erfordert keine Registrierung
Die Registrierung ist kostenlos
Auf Anfrage
Erfordert keine Registrierung
Auf Anfrage
API
Geschenk
Geschenk
Geschenk
Geschenk
Geschenk
Geschenk
Kundenpräsenz
Geschenk
Geschenk
Geschenk
Keine
Keine
Keine
Beginn der Datenerhebung
2010 Jahr
2013 Jahr
2009 Jahr
Zeigt nur die letzten 3 Monate an
2008 Jahr
2006 Jahr
Tabelle 1. Dienste mit Zugriff auf passive DNS-Daten
Anwendungsfälle für passives DNS
Mit Passive DNS können Sie Beziehungen zwischen Domänennamen, NS-Servern und IP-Adressen aufbauen. Auf diese Weise können Sie Karten der untersuchten Systeme erstellen und Änderungen in einer solchen Karte von der ersten Entdeckung bis zum aktuellen Zeitpunkt verfolgen.
Passives DNS erleichtert auch die Erkennung von Anomalien im Datenverkehr. Durch die Verfolgung von Änderungen in NS-Zonen und Datensätzen vom Typ A und AAAA können Sie beispielsweise bösartige Websites mithilfe der Fast-Flux-Methode identifizieren, die darauf ausgelegt ist, C&C vor Erkennung und Blockierung zu schützen. Weil legitime Domänennamen (mit Ausnahme derjenigen, die für den Lastausgleich verwendet werden) ihre IP-Adressen nicht oft ändern und die meisten legitimen Zonen ihre NS-Server selten ändern.
Passives DNS ermöglicht Ihnen im Gegensatz zur direkten Aufzählung von Subdomains mithilfe von Wörterbüchern das Auffinden selbst der exotischsten Domainnamen, zum Beispiel „222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru“. Manchmal können Sie damit auch Testbereiche (und gefährdete Bereiche) der Website, Entwicklermaterialien usw. finden.
Untersuchen eines Links aus einer E-Mail mit passivem DNS
Derzeit ist Spam eine der Hauptmethoden, mit denen ein Angreifer in den Computer eines Opfers eindringt oder vertrauliche Informationen stiehlt. Versuchen wir, den Link aus einer solchen E-Mail mit Passive DNS zu untersuchen, um die Wirksamkeit dieser Methode zu bewerten.
Abbildung 2. Spam-E-Mail
Der Link aus diesem Brief führte zur Seite magnit-boss.rocks, die anbot, automatisch Boni zu sammeln und Geld zu erhalten:
Abbildung 3. Auf der Domäne magnit-boss.rocks gehostete Seite
Für das Studium wurde diese Seite genutzt , auf dem bereits 3 vorgefertigte Clients installiert sind , и .
Zunächst erfahren wir den gesamten Verlauf dieses Domainnamens, dazu verwenden wir den Befehl:
pt-client pdns --query magnit-boss.rocks
Dieser Befehl gibt Informationen über alle mit diesem Domänennamen verknüpften DNS-Auflösungen zurück.
Abbildung 4. Antwort der Riskiq-API
Lassen Sie uns die Antwort der API in eine visuellere Form bringen:
Abbildung 5. Alle Einträge aus der Antwort
Für weitere Recherchen haben wir die IP-Adressen herangezogen, zu denen dieser Domain-Name zum Zeitpunkt des Eingangs des Schreibens am 01.08.2019 aufgelöst war. Diese IP-Adressen sind die folgenden Adressen 92.119.113.112 und 85.143.219.65.
Mit dem Befehl:
pt-client pdns --query
Sie können alle Domänennamen abrufen, die bestimmten IP-Adressen zugeordnet sind.
Die IP-Adresse 92.119.113.112 verfügt über 42 eindeutige Domänennamen, die zu dieser IP-Adresse aufgelöst wurden, darunter die folgenden Namen:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- und etc
Die IP-Adresse 85.143.219.65 verfügt über 44 eindeutige Domänennamen, die in diese IP-Adresse aufgelöst wurden, darunter die folgenden Namen:
- cvv2.name (Website zum Verkauf von Kreditkartendaten)
- emaills.world
- www.mailru.space
- und etc
Verbindungen mit diesen Domainnamen führen zu Phishing, aber wir glauben an freundliche Menschen, also versuchen wir, einen Bonus von 332 Rubel zu bekommen? Nachdem wir auf die Schaltfläche „JA“ geklickt haben, werden wir von der Website aufgefordert, 501.72 Rubel von der Karte zu überweisen, um das Konto zu entsperren, und werden zur Dateneingabe auf die Website as-torpay.info weitergeleitet.
Abbildung 6. Hauptseite der Website ac-pay2day.net
Es sieht aus wie eine legale Website, es gibt ein https-Zertifikat und auf der Hauptseite wird angeboten, dieses Zahlungssystem mit Ihrer Website zu verbinden, aber leider funktionieren nicht alle Links zum Herstellen einer Verbindung. Dieser Domainname wird nur in eine IP-Adresse aufgelöst: 1. Es verfügt wiederum über 190.115.19.74 eindeutige Domänennamen, die in diese IP-Adresse aufgelöst werden, darunter Namen wie:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- und etc
Wie wir sehen, können Sie mit Passive DNS schnell und effizient Daten über die untersuchte Ressource sammeln und sogar eine Art Impressum erstellen, mit dem Sie den gesamten Plan zum Diebstahl personenbezogener Daten aufdecken können, vom Erhalt bis zum wahrscheinlichen Verkaufsort.
Abbildung 7. Karte des untersuchten Systems
Nicht alles ist so rosig, wie wir es gerne hätten. Beispielsweise können solche Untersuchungen bei CloudFlare oder ähnlichen Diensten leicht scheitern. Und die Effektivität der gesammelten Datenbank hängt stark von der Anzahl der DNS-Anfragen ab, die das Modul zum Sammeln passiver DNS-Daten durchlaufen. Dennoch ist Passive DNS eine Quelle zusätzlicher Informationen für den Forscher.
Autor: Spezialist des Ural Center for Security Systems
Source: habr.com