Το Σύστημα Ονομάτων Τομέα (DNS) είναι σαν ένας τηλεφωνικός κατάλογος που μεταφράζει φιλικά προς τον χρήστη ονόματα όπως το "ussc.ru" σε διευθύνσεις IP. Δεδομένου ότι η δραστηριότητα DNS είναι παρούσα σε όλες σχεδόν τις συνεδρίες επικοινωνίας, ανεξάρτητα από το πρωτόκολλο. Έτσι, η καταγραφή DNS είναι μια πολύτιμη πηγή δεδομένων για τον ειδικό σε θέματα ασφάλειας πληροφοριών, επιτρέποντάς τους να ανιχνεύουν ανωμαλίες ή να αποκτούν πρόσθετα δεδομένα σχετικά με το υπό διερεύνηση σύστημα.
Το 2004, ο Florian Weimer πρότεινε μια μέθοδο καταγραφής που ονομάζεται Παθητικό DNS, η οποία σας επιτρέπει να επαναφέρετε το ιστορικό των αλλαγών δεδομένων DNS με τη δυνατότητα δημιουργίας ευρετηρίου και αναζήτησης, η οποία μπορεί να παρέχει πρόσβαση στα ακόλουθα δεδομένα:
- Ονομα τομέα
- Η διεύθυνση IP του ζητούμενου ονόματος τομέα
- Ημερομηνία και ώρα απάντησης
- Τύπος απόκρισης
- κλπ.
Τα δεδομένα για παθητικό DNS συλλέγονται από αναδρομικούς διακομιστές DNS μέσω ενσωματωμένων λειτουργικών μονάδων ή παρεμποδίζοντας απαντήσεις από διακομιστές DNS που είναι υπεύθυνοι για τη ζώνη.
Εικόνα 1. Παθητικό DNS (λαμβάνεται από τον ιστότοπο
Η ιδιαιτερότητα του Παθητικού DNS είναι ότι δεν χρειάζεται να καταχωρήσετε τη διεύθυνση IP του πελάτη, κάτι που βοηθά στην προστασία του απορρήτου των χρηστών.
Αυτή τη στιγμή, υπάρχουν πολλές υπηρεσίες που παρέχουν πρόσβαση σε δεδομένα Παθητικού DNS:
Εταιρεία
Farsight Security
VirusTotal
Riskiq
SafeDNS
Διαδρομές Ασφαλείας
Cisco
Πρόσβαση
Κατόπιν αίτησης
Δεν απαιτεί εγγραφή
Η εγγραφή είναι δωρεάν
Κατόπιν αίτησης
Δεν απαιτεί εγγραφή
Κατόπιν αίτησης
API
Παρόν
Παρόν
Παρόν
Παρόν
Παρόν
Παρόν
Παρουσία πελατών
Παρόν
Παρόν
Παρόν
Κανένας
Κανένας
Κανένας
Έναρξη συλλογής δεδομένων
2010 έτους
2013 έτους
2009 έτους
Εμφανίζει μόνο τους τελευταίους 3 μήνες
2008 έτους
2006 έτους
Πίνακας 1. Υπηρεσίες με πρόσβαση σε δεδομένα Παθητικού DNS
Χρησιμοποιήστε θήκες για παθητικό DNS
Χρησιμοποιώντας το Παθητικό DNS, μπορείτε να δημιουργήσετε σχέσεις μεταξύ ονομάτων τομέα, διακομιστών NS και διευθύνσεων IP. Αυτό σας επιτρέπει να δημιουργήσετε χάρτες των υπό μελέτη συστημάτων και να παρακολουθείτε τις αλλαγές σε έναν τέτοιο χάρτη από την πρώτη ανακάλυψη έως την τρέχουσα στιγμή.
Το παθητικό DNS διευκολύνει επίσης τον εντοπισμό ανωμαλιών στην κυκλοφορία. Για παράδειγμα, η παρακολούθηση αλλαγών σε ζώνες NS και εγγραφές τύπου A και AAAA σάς επιτρέπει να προσδιορίζετε κακόβουλους ιστότοπους που χρησιμοποιούν τη μέθοδο γρήγορης ροής, σχεδιασμένη να αποκρύπτει τον εντοπισμό και τον αποκλεισμό C&C. Επειδή τα νόμιμα ονόματα τομέα (εκτός από αυτά που χρησιμοποιούνται για την εξισορρόπηση φορτίου) δεν αλλάζουν συχνά τις διευθύνσεις IP τους και οι περισσότερες νόμιμες ζώνες σπάνια αλλάζουν τους διακομιστές NS τους.
Το παθητικό DNS, σε αντίθεση με την άμεση απαρίθμηση υποτομέων με χρήση λεξικών, σας επιτρέπει να βρείτε ακόμη και τα πιο εξωτικά ονόματα τομέα, για παράδειγμα, "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Επίσης, μερικές φορές σας επιτρέπει να βρείτε δοκιμαστικές (και ευάλωτες) περιοχές του ιστότοπου, υλικό προγραμματιστή κ.λπ.
Εξέταση ενός συνδέσμου από ένα email χρησιμοποιώντας παθητικό DNS
Αυτή τη στιγμή, το spam είναι ένας από τους κύριους τρόπους με τους οποίους ένας εισβολέας διεισδύει στον υπολογιστή ενός θύματος ή κλέβει εμπιστευτικές πληροφορίες. Ας προσπαθήσουμε να εξετάσουμε τον σύνδεσμο από ένα τέτοιο email χρησιμοποιώντας Παθητικό DNS για να αξιολογήσουμε την αποτελεσματικότητα αυτής της μεθόδου.
Εικόνα 2. Ανεπιθύμητα email
Ο σύνδεσμος από αυτήν την επιστολή οδήγησε στον ιστότοπο magnit-boss.rocks, ο οποίος προσφέρθηκε να συλλέγει αυτόματα μπόνους και να λαμβάνει χρήματα:
Εικόνα 3. Σελίδα που φιλοξενείται στον τομέα magnit-boss.rocks
Για τη μελέτη αυτής της τοποθεσίας χρησιμοποιήθηκε
Πρώτα απ 'όλα, θα μάθουμε ολόκληρο το ιστορικό αυτού του ονόματος τομέα, για αυτό θα χρησιμοποιήσουμε την εντολή:
pt-client pdns --ερώτημα magnit-boss.rocks
Αυτή η εντολή θα επιστρέψει πληροφορίες σχετικά με όλες τις αναλύσεις DNS που σχετίζονται με αυτό το όνομα τομέα.
Εικόνα 4. Απόκριση από το Riskiq API
Ας φέρουμε την απάντηση από το API σε μια πιο οπτική μορφή:
Εικόνα 5. Όλες οι καταχωρήσεις από την απάντηση
Για περαιτέρω έρευνα, πήραμε τις διευθύνσεις IP στις οποίες είχε επιλυθεί αυτό το όνομα τομέα τη στιγμή που ελήφθη η επιστολή στις 01.08.2019/92.119.113.112/85.143.219.65, τέτοιες διευθύνσεις IP είναι οι ακόλουθες διευθύνσεις XNUMX και XNUMX.
Χρησιμοποιώντας την εντολή:
pt-client pdns --ερώτημα
μπορείτε να λάβετε όλα τα ονόματα τομέα που σχετίζονται με δεδομένες διευθύνσεις IP.
Η διεύθυνση IP 92.119.113.112 έχει 42 μοναδικά ονόματα τομέα που έχουν επιλυθεί σε αυτήν τη διεύθυνση IP, μεταξύ των οποίων είναι τα ακόλουθα ονόματα:
- μαγνήτης-αφεντικό.λέσχη
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- και άλλοι
Η διεύθυνση IP 85.143.219.65 έχει 44 μοναδικά ονόματα τομέα που έχουν επιλυθεί σε αυτήν τη διεύθυνση IP, μεταξύ των οποίων είναι τα ακόλουθα ονόματα:
- cvv2.name (ιστότοπος για την πώληση δεδομένων πιστωτικών καρτών)
- emaills.world
- www.mailru.space
- και άλλοι
Οι συνδέσεις με αυτά τα ονόματα τομέα οδηγούν σε phishing, αλλά πιστεύουμε στους ευγενικούς ανθρώπους, οπότε ας προσπαθήσουμε να λάβουμε ένα μπόνους 332 ρούβλια; Αφού κάνουμε κλικ στο κουμπί «ΝΑΙ», ο ιστότοπος μας ζητά να μεταφέρουμε 501.72 ρούβλια από την κάρτα για να ξεκλειδώσετε τον λογαριασμό και μας στέλνει στον ιστότοπο as-torpay.info για εισαγωγή δεδομένων.
Εικόνα 6. Κεντρική σελίδα του ιστότοπου ac-pay2day.net
Μοιάζει με νόμιμο ιστότοπο, υπάρχει πιστοποιητικό https και η κύρια σελίδα προσφέρει τη σύνδεση αυτού του συστήματος πληρωμών στον ιστότοπό σας, αλλά, δυστυχώς, όλοι οι σύνδεσμοι για σύνδεση δεν λειτουργούν. Αυτό το όνομα τομέα επιλύει μόνο 1 διεύθυνση IP - 190.115.19.74. Με τη σειρά του, έχει 1475 μοναδικά ονόματα τομέα που επιλύονται σε αυτήν τη διεύθυνση IP, συμπεριλαμβανομένων ονομάτων όπως:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- και άλλοι
Όπως μπορούμε να δούμε, το Παθητικό DNS σάς επιτρέπει να συλλέγετε γρήγορα και αποτελεσματικά δεδομένα σχετικά με τον υπό μελέτη πόρο και ακόμη και να δημιουργήσετε ένα είδος αποτύπωσης που σας επιτρέπει να αποκαλύψετε ολόκληρο το σχέδιο κλοπής προσωπικών δεδομένων, από την παραλαβή του έως τον πιθανό τόπο πώλησής του.
Εικόνα 7. Χάρτης του υπό μελέτη συστήματος
Δεν είναι όλα τόσο ρόδινα όσο θα θέλαμε. Για παράδειγμα, τέτοιες έρευνες μπορούν εύκολα να διακοπούν στο CloudFlare ή παρόμοιες υπηρεσίες. Και η αποτελεσματικότητα της συλλεγόμενης βάσης δεδομένων εξαρτάται πολύ από τον αριθμό των αιτημάτων DNS που περνούν από τη μονάδα για τη συλλογή δεδομένων Παθητικού DNS. Ωστόσο, το παθητικό DNS είναι μια πηγή πρόσθετων πληροφοριών για τον ερευνητή.
Συγγραφέας: Ειδικός του Ural Center for Security Systems
Πηγή: www.habr.com