Domain Name System (DNS) "ussc.ru" bezalako izen atseginak IP helbideetara itzultzen dituen telefono-liburu bat bezalakoa da. DNS jarduera ia komunikazio saio guztietan dagoenez, protokoloa edozein dela ere. Horrela, DNS erregistroa datu-iturri baliotsua da informazioaren segurtasuneko espezialistarentzat, anomaliak detektatzeko edo ikertzen ari den sistemari buruzko datu osagarriak lortzeko aukera ematen diona.
2004an, Florian Weimerrek DNS pasiboa izeneko erregistro-metodo bat proposatu zuen, DNS datuen aldaketen historia berreskuratzeko aukera ematen duena indexatzeko eta bilatzeko gaitasunarekin, eta horrek datu hauetarako sarbidea eman dezake:
- Domeinu-izena
- Eskatutako domeinu-izenaren IP helbidea
- Erantzunaren data eta ordua
- Erantzun mota
- eta abar.
DNS pasiborako datuak DNS zerbitzari errekurtsiboetatik biltzen dira modulu integratuen bidez edo zonaren ardura duten DNS zerbitzarien erantzunak atzematen.
1. Irudia DNS pasiboa (gunetik hartua
DNS pasiboaren ezaugarri bat da ez dagoela bezeroaren IP helbidea erregistratu beharrik, eta horrek erabiltzailearen pribatutasuna babesten laguntzen du.
Momentuz, DNS pasiboko datuetarako sarbidea ematen duten zerbitzu asko daude:
Enpresaren
Urruneko Segurtasuna
VirusTotal
Riskiq
SafeDNS
Segurtasun Ibilbideak
Cisco
Sarbidea
Eskatuta
Ez du izena eman behar
Izen-ematea doakoa da
Eskatuta
Ez du izena eman behar
Eskatuta
API
Oraina
Oraina
Oraina
Oraina
Oraina
Oraina
Bezero baten erabilgarritasuna
Oraina
Oraina
Oraina
Bat ere ez
Bat ere ez
Bat ere ez
Datu bilketaren hasiera
2010 urteko
2013 urteko
2009 urteko
Azken 3 hilabeteak soilik erakusten ditu
2008 urteko
2006 urteko
1. taula. DNS pasiboko datuetarako sarbidea duten zerbitzuak
DNS pasiborako erabilera kasuak
DNS pasiboa erabiliz, domeinu-izen, NS zerbitzarien eta IP helbideen arteko harremanak sor ditzakezu. Honi esker, aztertzen ari diren sistemen mapak eraiki eta mapa horretan aldaketak egin ditzakezu lehen aurkikuntzatik uneko unera arte.
DNS pasiboak trafikoaren anomaliak hautematea errazten du. Esaterako, NS guneetako aldaketen jarraipena egiteak eta A eta AAAA motako erregistroak gune gaiztoak identifikatzeko aukera ematen du fluxu azkarraren metodoa erabiliz, C&C hautematetik eta blokeotik ezkutatzeko diseinatua. Domeinu-izen legitimoek (karga orekatzeko erabiltzen direnak izan ezik) ez dituztelako askotan IP helbideak aldatuko, eta gune legitimo gehienek oso gutxitan aldatzen dituzte NS zerbitzariak.
DNS pasiboak, hiztegiak erabiliz azpidomeinuen bilaketa zuzenaren aldean, domeinu-izen exotikoenak ere aurkitzeko aukera ematen du, adibidez "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Batzuetan, webguneko probak (eta zaurgarriak) guneak, garatzaileentzako materialak, etab.
Posta elektronikoko esteka bat ikertzen DNS pasiboa erabiliz
Gaur egun, spam-a da erasotzaileak biktimaren ordenagailuan sartzeko edo isilpeko informazioa lapurtzeko duen bide nagusietako bat. Saia gaitezen horrelako gutun baten esteka DNS pasiboa erabiliz aztertzen metodo honen eraginkortasuna ebaluatzeko.
2. irudia. Spam mezu elektronikoa
Gutun honetako estekak magnit-boss.rocks gunera eraman zuen, hobariak automatikoki biltzeko eta dirua jasotzeko eskaintzen zuena:
3. irudia. Magnit-boss.rocks domeinuan ostatutako orrialdea
Gune hau aztertzeko, erabili nuen
Lehenik eta behin, domeinu-izen honen historia osoa ezagutuko dugu, horretarako komandoa erabiliko dugu:
pt-client pdns βgaldetu magnet-boss.rocks
Komando honek domeinu-izen honekin lotutako DNS konponbide guztiei buruzko informazioa bistaratuko du.
4. irudia. Riskiq APIaren erantzuna
Jar dezagun APIaren erantzuna forma bisualago batean:
5. irudia. Erantzunaren sarrera guztiak
Ikerketa gehiago egiteko, domeinu-izen honek ebatzitako IP helbideak hartu ditugu 01.08.2019/92.119.113.112/85.143.219.65an gutuna jaso zenean, IP helbideak XNUMX eta XNUMX helbide hauek dira.
Komandoa erabiliz:
pt-client pdns --query
emandako IP helbideekin lotutako domeinu-izen guztiak lor ditzakezu.
92.119.113.112 IP helbideak 42 domeinu-izen esklusibo ditu IP helbide honetara ebazten direnak, eta horien artean honako izen hauek daude:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- eta beste batzuk
85.143.219.65 IP helbideak 44 domeinu-izen esklusibo ditu IP helbide honetara ebazten direnak, eta horien artean honako izen hauek daude:
- cvv2.name (kreditu txartelaren datuak saltzeko gunea)
- posta elektronikoak.mundua
- www.mailru.space
- eta beste batzuk
Domeinu-izen hauek dituzten konexioek phishing-a eragiten dute, baina jende jatorrengan sinesten dugu, beraz, saia gaitezen 332 errubloko hobaria lortzen? "BAI" botoian klik egin ondoren, guneak txarteletik 501.72 errublo transferitzeko eskatzen digu kontua desblokeatzeko eta as-torpay.info gunera bidaltzen gaitu datuak sartzeko.
6. irudia. Ac-pay2day.net gunearen hasierako orria
Legezko gune bat dirudi, https ziurtagiria dago, eta orrialde nagusiak ordainketa sistema hau zure gunera konektatzeko aukera eskaintzen du, baina, ai, konektatzeko esteka guztiek ez dute funtzionatzen. Domeinu-izen hau IP helbide bakarrera ebazten da - 1. Era berean, IP helbide honetara ebazten diren 190.115.19.74 domeinu-izen esklusibo ditu, besteak beste:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- eta beste batzuk
Ikus dezakegunez, DNS pasiboak aukera ematen du aztergai dugun baliabideari buruzko datuak azkar eta eraginkortasunez biltzeko eta baita hatz-marka moduko bat eraikitzeko, datu pertsonalak lapurtzeko eskema oso bat deskubritzeko aukera ematen duena, jasotzen denetik saltzeko toki posibleraino.
7. Irudia. Aztergai dugun sistemaren mapa
Dena ez da nahiko genukeen bezain arrosa. Adibidez, horrelako ikerketek erraz huts egin dezakete CloudFlare edo antzeko zerbitzuetan. Eta bildutako datu-basearen eraginkortasuna DNS pasiboko datuak biltzeko modulutik pasatzen diren DNS eskaera kopuruaren araberakoa da. Baina, hala ere, DNS pasiboa informazio osagarria da ikerlariarentzat.
Egilea: Ural Center for Security Systems-eko espezialista
Iturria: www.habr.com