El Sistema de nombres de dominio (DNS) es como una guía telefónica que traduce nombres fáciles de usar como "ussc.ru" en direcciones IP. Ya que la actividad DNS está presente en casi todas las sesiones de comunicación, independientemente del protocolo. Por lo tanto, el registro de DNS es una valiosa fuente de datos para el especialista en seguridad de la información, ya que le permite detectar anomalías u obtener datos adicionales sobre el sistema bajo investigación.
En 2004, Florian Weimer propuso un método de registro llamado DNS pasivo, que le permite restaurar el historial de cambios de datos DNS con la capacidad de indexar y buscar, que puede proporcionar acceso a los siguientes datos:
- имя Доменное
- La dirección IP del nombre de dominio solicitado.
- Fecha y hora de respuesta
- Tipo de respuesta
- etcétera
Los datos para DNS pasivo se recopilan de servidores DNS recursivos mediante módulos integrados o interceptando respuestas de servidores DNS responsables de la zona.
Figura 1. DNS pasivo (tomado del sitio )
La peculiaridad del DNS pasivo es que no es necesario registrar la dirección IP del cliente, lo que ayuda a proteger la privacidad del usuario.
Por el momento, existen muchos servicios que brindan acceso a datos de DNS pasivo:
Inmobiliaria
Seguridad de visión lejana
VirusTotal
riesgo
SafeDNS
Senderos de seguridad
Cisco
Acceso
A solicitud
No requiere registro
La inscripción es gratuita
A solicitud
No requiere registro
A solicitud
API
Presente
Presente
Presente
Presente
Presente
Presente
Presencia del cliente
Presente
Presente
Presente
Ninguno
Ninguno
Ninguno
Inicio de la recopilación de datos
año 2010
año 2013
año 2009
Muestra solo los últimos 3 meses
año 2008
año 2006
Tabla 1. Servicios con acceso a datos de DNS pasivo
Casos de uso para DNS pasivo
Al utilizar DNS pasivo, puede establecer relaciones entre nombres de dominio, servidores NS y direcciones IP. Esto le permite crear mapas de los sistemas en estudio y rastrear los cambios en dicho mapa desde el primer descubrimiento hasta el momento actual.
El DNS pasivo también facilita la detección de anomalías en el tráfico. Por ejemplo, el seguimiento de cambios en zonas NS y registros de tipo A y AAAA le permite identificar sitios maliciosos utilizando el método Fast Flux, diseñado para ocultar C&C de la detección y el bloqueo. Porque los nombres de dominio legítimos (con excepción de los utilizados para el equilibrio de carga) no cambian sus direcciones IP con frecuencia, y la mayoría de las zonas legítimas rara vez cambian sus servidores NS.
El DNS pasivo, a diferencia de la enumeración directa de subdominios mediante diccionarios, le permite encontrar incluso los nombres de dominio más exóticos, por ejemplo, "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefinido7140c0.p.hoff.ru". A veces también le permite encontrar áreas de prueba (y vulnerables) del sitio web, materiales para desarrolladores, etc.
Examinar un enlace de un correo electrónico usando DNS pasivo
Actualmente, el spam es una de las principales formas en que un atacante penetra en el ordenador de una víctima o roba información confidencial. Intentemos examinar el enlace de dicho correo electrónico utilizando DNS pasivo para evaluar la eficacia de este método.
Figura 2. Correo electrónico no deseado
El enlace de esta carta conducía al sitio magnit-boss.rocks, que ofrecía cobrar bonificaciones y recibir dinero automáticamente:
Figura 3. Página alojada en el dominio magnit-boss.rocks
Para el estudio de este sitio se utilizó , que ya tiene 3 clientes listos para usar , и .
En primer lugar conoceremos el historial completo de este nombre de dominio, para ello usaremos el comando:
pt-client pdns --consulta magnit-boss.rocks
Este comando devolverá información sobre todas las resoluciones DNS asociadas con este nombre de dominio.
Figura 4. Respuesta de la API Riskiq
Llevemos la respuesta de la API a una forma más visual:
Figura 5. Todas las entradas de la respuesta
Para una mayor investigación, tomamos las direcciones IP a las que se había resuelto este nombre de dominio en el momento en que se recibió la carta el 01.08.2019/92.119.113.112/85.143.219.65, dichas direcciones IP son las siguientes direcciones XNUMX y XNUMX.
Usando el comando:
pt-cliente pdns --consulta
puede obtener todos los nombres de dominio asociados con direcciones IP determinadas.
La dirección IP 92.119.113.112 tiene 42 nombres de dominio únicos que se han resuelto en esta dirección IP, entre los que se encuentran los siguientes nombres:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- y etc
La dirección IP 85.143.219.65 tiene 44 nombres de dominio únicos que se han resuelto en esta dirección IP, entre los que se encuentran los siguientes nombres:
- cvv2.name (sitio web para venta de datos de tarjetas de crédito)
- emaills.mundo
- www.mailru.space
- y etc
Las conexiones con estos nombres de dominio conducen al phishing, pero creemos en las personas amables, así que intentemos obtener una bonificación de 332 rublos. Después de hacer clic en el botón "SÍ", el sitio nos pide que transfiramos 501.72 rublos de la tarjeta para desbloquear la cuenta y nos envía al sitio as-torpay.info para ingresar los datos.
Figura 6. Página principal del sitio ac-pay2day.net
Parece un sitio legal, hay un certificado https y la página principal ofrece conectar este sistema de pago a su sitio, pero, lamentablemente, todos los enlaces para conectarse no funcionan. Este nombre de dominio se resuelve en solo 1 dirección IP: 190.115.19.74. Este, a su vez, tiene 1475 nombres de dominio únicos que se resuelven en esta dirección IP, incluidos nombres como:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- y etc
Como podemos ver, el DNS pasivo le permite recopilar datos de manera rápida y eficiente sobre el recurso en estudio e incluso crear una especie de huella que le permite descubrir todo el esquema para robar datos personales, desde su recepción hasta el probable lugar de venta.
Figura 7. Mapa del sistema en estudio
No todo es tan color de rosa como nos gustaría. Por ejemplo, este tipo de investigaciones pueden fracasar fácilmente en CloudFlare o servicios similares. Y la efectividad de la base de datos recopilada depende en gran medida de la cantidad de solicitudes de DNS que pasan por el módulo para recopilar datos de DNS pasivo. Sin embargo, el DNS pasivo es una fuente de información adicional para el investigador.
Autor: Especialista del Centro de Sistemas de Seguridad de los Urales.
Fuente: habr.com