La Domajna Nomsistemo (DNS) estas kiel telefonlibro, kiu tradukas uzant-amikajn nomojn kiel "ussc.ru" en IP-adresojn. Ĉar DNS-agado ĉeestas en preskaŭ ĉiuj komunikadaj sesioj, sendepende de la protokolo. Tiel, DNS-registrado estas valora fonto de datumoj por la specialisto pri informa sekureco, permesante al ili detekti anomaliojn aŭ akiri pliajn datumojn pri la esplorita sistemo.
En 2004, Florian Weimer proponis registran metodon nomitan Passive DNS, kiu permesas restarigi la historion de DNS-datumŝanĝoj kun la kapablo indeksi kaj serĉi, kiu povas doni aliron al la sekvaj datumoj:
- Domajna nomo
- La IP-adreso de la petita domajna nomo
- Dato kaj horo de respondo
- Responda tipo
- kaj tiel plu.
Datenoj por Pasiva DNS estas kolektitaj de rekursivaj DNS-serviloj per enkonstruitaj moduloj aŭ kaptante respondojn de DNS-serviloj respondecaj por la zono.
Figuro 1. Pasiva DNS (prenita de la retejo )
La propreco de Pasiva DNS estas, ke ne necesas registri la IP-adreson de la kliento, kio helpas protekti la privatecon de la uzanto.
Nuntempe, ekzistas multaj servoj, kiuj provizas aliron al pasivaj DNS-datumoj:
Firmao
Farsight Sekureco
VirusTotal
Riskiq
SafeDNS
sekurecvojoj
Cisco
Aliro
Laŭ peto
Ne postulas registriĝon
Registrado estas senpaga
Laŭ peto
Ne postulas registriĝon
Laŭ peto
API
Ĉeestanta
Ĉeestanta
Ĉeestanta
Ĉeestanta
Ĉeestanta
Ĉeestanta
Klienta ĉeesto
Ĉeestanta
Ĉeestanta
Ĉeestanta
Neniu
Neniu
Neniu
Komenco de datumkolektado
2010 jaro
2013 jaro
2009 jaro
Montras nur la lastajn 3 monatojn
2008 jaro
2006 jaro
Tablo 1. Servoj kun aliro al Pasivaj DNS-datumoj
Uzkazoj por Pasiva DNS
Uzante Pasivan DNS, vi povas konstrui rilatojn inter domajnaj nomoj, NS-serviloj kaj IP-adresoj. Ĉi tio ebligas al vi konstrui mapojn de la studataj sistemoj kaj spuri ŝanĝojn en tia mapo de la unua malkovro ĝis la nuna momento.
Pasiva DNS ankaŭ faciligas detekti anomaliojn en trafiko. Ekzemple, spuri ŝanĝojn en NS-zonoj kaj rekordoj de tipo A kaj AAAA permesas identigi malicajn ejojn uzante la rapidan fluan metodon, dizajnitan por kaŝi C&C de detekto kaj blokado. Ĉar laŭleĝaj domajnaj nomoj (krom tiuj uzataj por ŝarĝoekvilibro) ne ofte ŝanĝos siajn IP-adresojn, kaj la plej multaj laŭleĝaj zonoj malofte ŝanĝas siajn NS-servilojn.
Pasiva DNS, kontraste al rekta nombrado de subdomajnoj uzante vortarojn, permesas trovi eĉ la plej ekzotikajn domajnajn nomojn, ekzemple, "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Ĝi ankaŭ foje permesas vin trovi provajn (kaj vundeblajn) areojn de la retejo, programmaterialojn, ktp.
Ekzamenante ligilon de retpoŝto uzante Pasivan DNS
Nuntempe, spamo estas unu el la ĉefaj manieroj per kiu atakanto penetras la komputilon de viktimo aŭ ŝtelas konfidencajn informojn. Ni provu ekzameni la ligon de tia retpoŝto uzante Pasivan DNS por taksi la efikecon de ĉi tiu metodo.
Figuro 2. Spam-retpoŝto
La ligo de ĉi tiu letero kondukis al la retejo magnit-boss.rocks, kiu proponis aŭtomate kolekti gratifikojn kaj ricevi monon:
Figuro 3. Paĝo gastigita sur la domajno magnit-boss.rocks
Por la studo de ĉi tiu retejo estis uzata , kiu jam havas 3 pretajn klientojn , и .
Antaŭ ĉio, ni ekscios la tutan historion de ĉi tiu domajna nomo, por tio ni uzos la komandon:
pt-client pdns --query magnit-boss.rocks
Ĉi tiu komando resendos informojn pri ĉiuj DNS-rezolucioj asociitaj kun ĉi tiu domajna nomo.
Figuro 4. Respondo de la Riskiq API
Ni alportu la respondon de la API al pli vida formo:
Figuro 5. Ĉiuj enskriboj de la respondo
Por plia esplorado, ni prenis la IP-adresojn, al kiuj ĉi tiu domajna nomo estis solvita en la momento, kiam la letero estis ricevita la 01.08.2019/92.119.113.112/85.143.219.65, tiaj IP-adresoj estas la jenaj adresoj XNUMX kaj XNUMX.
Uzante la komandon:
pt-kliento pdns --query
vi povas akiri ĉiujn domajnajn nomojn, kiuj estas asociitaj kun donitaj IP-adresoj.
La IP-adreso 92.119.113.112 havas 42 unikajn domajnajn nomojn, kiuj solviĝis al ĉi tiu IP-adreso, inter kiuj estas la jenaj nomoj:
- magnit-estro.klubo
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- kaj aliaj
La IP-adreso 85.143.219.65 havas 44 unikajn domajnajn nomojn, kiuj solviĝis al ĉi tiu IP-adreso, inter kiuj estas la jenaj nomoj:
- cvv2.name (retejo por vendi kreditkartajn datumojn)
- retpoŝtoj.mondo
- www.mailru.space
- kaj aliaj
Konektoj kun ĉi tiuj domajnaj nomoj kondukas al phishing, sed ni kredas je afablaj homoj, do ni provu akiri gratifikon de 332 501.72 rubloj? Post klako sur la butonon "JES", la retejo petas nin translokigi 300 rublojn de la karto por malŝlosi la konton kaj sendas nin al la retejo as-torpay.info por enigi datumojn.
Figuro 6. Ĉefpaĝo de la retejo ac-pay2day.net
Ĝi aspektas kiel laŭleĝa retejo, ekzistas https-atestilo, kaj la ĉefpaĝo proponas konekti ĉi tiun pagsistemon al via retejo, sed, ve, ĉiuj ligiloj por konekti ne funkcias. Ĉi tiu domajna nomo solvas al nur 1 ip-adreso - 190.115.19.74. Ĝi, siavice, havas 1475 unikajn domajnajn nomojn kiuj solvas al ĉi tiu IP-adreso, inkluzive de tiaj nomoj kiel:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- kaj aliaj
Kiel ni povas vidi, Pasiva DNS permesas vin rapide kaj efike kolekti datumojn pri la studata rimedo kaj eĉ konstrui specon de premsigno, kiu ebligas al vi malkovri la tutan skemon por ŝteli personajn datumojn, de ĝia ricevo ĝis la verŝajna loko de vendo.
Figuro 7. Mapo de la studata sistemo
Ne ĉio estas tiel rozkolora kiel ni ŝatus. Ekzemple, tiaj esploroj povas facile rompiĝi sur CloudFlare aŭ similaj servoj. Kaj la efikeco de la kolektita datumbazo tre dependas de la nombro da DNS-petoj trairantaj la modulon por kolekti Pasivajn DNS-datumojn. Tamen, Pasiva DNS estas fonto de pliaj informoj por la esploristo.
Aŭtoro: Specialisto de la Urala Centro por Sekurecaj Sistemoj
fonto: www.habr.com