Domeeninimesüsteem (DNS) on nagu telefoniraamat, mis tõlgib kasutajasõbralikud nimed, nagu "ussc.ru" IP-aadressideks. Kuna DNS-i tegevus esineb peaaegu kõigis suhtlusseanssides, olenemata protokollist. Seega on DNS-i logimine väärtuslik andmeallikas infoturbespetsialistidele, võimaldades avastada kõrvalekaldeid või hankida uuritava süsteemi kohta lisaandmeid.
2004. aastal pakkus Florian Weimer välja logimismeetodi nimega Passive DNS, mis võimaldab taastada DNS-i andmete muudatuste ajaloo koos võimalusega indekseerida ja otsida, mis võimaldab juurdepääsu järgmistele andmetele:
- Domeeninimi
- Taotletud domeeninime IP-aadress
- Vastuse kuupäev ja kellaaeg
- Vastuse tüüp
- jne
Passiivse DNS-i andmeid kogutakse rekursiivsetest DNS-serveritest sisseehitatud moodulite või tsooni eest vastutavate DNS-serverite vastuste pealtkuulamisega.
Joonis 1. Passiivne DNS (võetud saidilt )
Passiivse DNS-i eripäraks on see, et kliendi IP-aadressi pole vaja registreerida, mis aitab kaitsta kasutaja privaatsust.
Praegu on palju teenuseid, mis pakuvad juurdepääsu passiivsetele DNS-i andmetele:
Ettevõte
Farsighti turvalisus
VirusTotal
Riskiq
SafeDNS
Turvarajad
Cisco
Juurdepääs
Nõudmisel
Ei nõua registreerimist
Registreerimine on tasuta
Nõudmisel
Ei nõua registreerimist
Nõudmisel
API
Kohal
Kohal
Kohal
Kohal
Kohal
Kohal
Kliendi kättesaadavus
Kohal
Kohal
Kohal
Mitte ükski
Mitte ükski
Mitte ükski
Andmete kogumise algus
2010 aasta
2013 aasta
2009 aasta
Kuvab ainult viimased 3 kuud
2008 aasta
2006 aasta
Tabel 1. Teenused, millel on juurdepääs passiivsetele DNS-andmetele
Passiivse DNS-i jaoks kasutage Case
Passiivse DNS-i abil saate luua ühendusi domeeninimede, NS-serverite ja IP-aadresside vahel. See võimaldab koostada uuritavate süsteemide kaarte ja jälgida sellisel kaardil toimunud muutusi alates esimesest avastusest kuni praeguse hetkeni.
Passiivne DNS muudab ka liiklusanomaaliate tuvastamise lihtsamaks. Näiteks NS-tsoonide ning A- ja AAAA-tüüpi kirjete muudatuste jälgimine võimaldab teil tuvastada pahatahtlikud saidid, mis kasutavad kiirvoo meetodit, mis on loodud C&C varjamiseks tuvastamise ja blokeerimise eest. Kuna seaduslikud domeeninimed (välja arvatud koormuse tasakaalustamiseks kasutatavad) ei muuda oma IP-aadresse sageli ja enamik seaduslikke tsoone muudab harva oma NS-servereid.
Passiivne DNS, erinevalt alamdomeenide otsesest otsingust sõnaraamatute abil, võimaldab teil leida isegi kõige eksootilisemaid domeeninimesid, näiteks "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Samuti võimaldab see mõnikord leida veebisaidi testitavaid (ja haavatavaid) alasid, arendaja materjale jne.
Meili lingi uurimine passiivse DNS-i abil
Praegu on rämpspost üks peamisi viise, mille kaudu ründaja tungib ohvri arvutisse või varastab konfidentsiaalset teavet. Proovime uurida sellisest kirjast pärinevat linki passiivse DNS-i abil, et hinnata selle meetodi tõhusust.
Joonis 2. Rämpspost
Selle kirja link viis saidile magnit-boss.rocks, mis pakkus automaatselt boonuste kogumist ja raha saamist:
Joonis 3. Domeeni magnit-boss.rocks hostitud leht
Selle saidi uurimiseks kasutasin , millel on juba 3 valmisklienti peal , и .
Kõigepealt saame teada kogu selle domeeninime ajaloo, selleks kasutame käsku:
pt-client pdns — päring magnet-boss.rocks
See käsk kuvab teavet kõigi selle domeeninimega seotud DNS-lahenduste kohta.
Joonis 4. Riskiq API vastus
Paneme API vastuse visuaalsemasse vormi:
Joonis 5. Kõik vastuse kirjed
Edasiseks uurimiseks võtsime kasutusele IP-aadressid, millele see domeeninimi 01.08.2019 kirja saabumise ajal lahenes, sellised IP-aadressid on järgmised aadressid 92.119.113.112 ja 85.143.219.65.
Kasutades käsku:
pt-klient pdns --päring
saate hankida kõik domeeninimed, mis on nende IP-aadressidega seotud.
IP-aadressil 92.119.113.112 on 42 unikaalset domeeninime, mis määravad selle IP-aadressi, mille hulgas on järgmised nimed:
- magnet-boss.klubi
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- ja teised
IP-aadressil 85.143.219.65 on 44 unikaalset domeeninime, mis määravad selle IP-aadressi, sealhulgas järgmised nimed:
- cvv2.name (krediitkaardiandmete müümise sait)
- emaills.world
- www.mailru.space
- ja teised
Sidemed nende domeeninimedega viitavad andmepüügile, kuid me usume headesse inimestesse, nii et proovime saada 332 501.72 rubla boonust? Pärast nupu „JAH” klõpsamist palub sait meil konto avamiseks kanda kaardilt 300 rubla ja saadab meid andmete sisestamiseks saidile as-torpay.info.
Joonis 6. Saidi ac-pay2day.net avaleht
See näeb välja nagu seaduslik sait, seal on https-sertifikaat ja avaleht pakub selle maksesüsteemi ühendamist teie saidiga, kuid paraku ei tööta kõik ühendamise lingid. See domeeninimi lahendab ainult 1 IP-aadressi – 190.115.19.74. Sellel on omakorda 1475 unikaalset domeeninime, mis määravad selle IP-aadressi, sealhulgas sellised nimed nagu:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- ja teised
Nagu näeme, võimaldab Passiivne DNS kiiresti ja tõhusalt koguda andmeid uuritava ressursi kohta ning luua isegi omamoodi sõrmejälje, mis võimaldab avastada terve isikuandmete varastamise skeemi, alates nende kättesaamisest kuni tõenäolise müügikohani.
Joonis 7. Uuritava süsteemi kaart
Kõik pole nii roosiline, kui me tahaksime. Näiteks võivad sellised uurimised CloudFlare'i või sarnaste teenuste puhul kergesti ebaõnnestuda. Ja kogutud andmebaasi tõhusus sõltub suuresti passiivsete DNS-andmete kogumise moodulist läbivate DNS-päringute arvust. Kuid sellegipoolest on passiivne DNS teadlase jaoks lisateabe allikas.
Autor: Uurali turvasüsteemide keskuse spetsialist
Allikas: www.habr.com