سیستم نام دامنه (DNS) مانند یک دفترچه تلفن است که نام های کاربرپسند مانند "ussc.ru" را به آدرس های IP ترجمه می کند. از آنجایی که فعالیت DNS بدون در نظر گرفتن پروتکل تقریباً در تمام جلسات ارتباطی وجود دارد. بنابراین، ثبت DNS یک منبع ارزشمند داده برای متخصصان امنیت اطلاعات است که به آنها امکان می دهد ناهنجاری ها را شناسایی کنند یا داده های اضافی را در مورد سیستم مورد مطالعه به دست آورند.
در سال 2004، Florian Weimer یک روش ثبت نام به نام Passive DNS را پیشنهاد کرد که به شما امکان میدهد تاریخچه تغییرات دادههای DNS را با قابلیت فهرستبندی و جستجو بازیابی کنید، که میتواند دسترسی به دادههای زیر را فراهم کند:
- نام دامنه
- آدرس IP نام دامنه درخواستی
- تاریخ و زمان پاسخگویی
- نوع پاسخ
- غیره
دادههای Passive DNS از سرورهای DNS بازگشتی توسط ماژولهای داخلی یا با رهگیری پاسخهای سرورهای DNS مسئول منطقه جمعآوری میشوند.
شکل 1. DNS غیرفعال (برگرفته از سایت
یکی از ویژگی های Passive DNS این است که نیازی به ثبت آدرس IP مشتری نیست که به محافظت از حریم خصوصی کاربر کمک می کند.
در حال حاضر، خدمات زیادی وجود دارد که دسترسی به داده های Passive DNS را فراهم می کند:
شرکت
امنیت Farsight
VirusTotal
ریسکیک
SafeDNS
مسیرهای امنیتی
سیسکو
دسترسی
بنا به درخواست
نیازی به ثبت نام ندارد
ثبت نام رایگان است
بنا به درخواست
نیازی به ثبت نام ندارد
بنا به درخواست
API
حاضر
حاضر
حاضر
حاضر
حاضر
حاضر
در دسترس بودن مشتری
حاضر
حاضر
حاضر
هیچ یک
هیچ یک
هیچ یک
شروع جمع آوری داده ها
سال 2010
سال 2013
سال 2009
فقط 3 ماه گذشته را نمایش می دهد
سال 2008
سال 2006
جدول 1. خدمات با دسترسی به داده های Passive DNS
از Cases برای Passive DNS استفاده کنید
با استفاده از Passive DNS می توانید بین نام های دامنه، سرورهای NS و آدرس های IP ارتباط ایجاد کنید. این به شما امکان می دهد نقشه هایی از سیستم های مورد مطالعه بسازید و تغییرات در چنین نقشه ای را از اولین کشف تا لحظه فعلی ردیابی کنید.
DNS غیرفعال همچنین تشخیص ناهنجاری های ترافیکی را آسان تر می کند. به عنوان مثال، ردیابی تغییرات در مناطق NS و سوابق نوع A و AAAA به شما امکان می دهد سایت های مخربی را شناسایی کنید که از روش جریان سریع استفاده می کنند، طراحی شده برای پنهان کردن C&C از شناسایی و مسدود کردن. از آنجا که نام دامنه های قانونی (به جز آنهایی که برای متعادل کردن بار استفاده می شوند) آدرس IP خود را اغلب تغییر نمی دهند و اکثر مناطق قانونی به ندرت سرورهای NS خود را تغییر می دهند.
DNS غیرفعال، بر خلاف جستجوی مستقیم زیر دامنه ها با استفاده از فرهنگ لغت، به شما امکان می دهد حتی عجیب ترین نام های دامنه را پیدا کنید، به عنوان مثال "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". همچنین گاهی اوقات به شما امکان می دهد مناطق آزمایشی (و آسیب پذیر) وب سایت، مواد توسعه دهنده و غیره را پیدا کنید.
تحقیق درباره پیوند از یک ایمیل با استفاده از Passive DNS
در حال حاضر، هرزنامه یکی از راههای اصلی نفوذ مهاجم به رایانه قربانی یا سرقت اطلاعات محرمانه است. بیایید سعی کنیم پیوند چنین نامه ای را با استفاده از Passive DNS برای ارزیابی اثربخشی این روش بررسی کنیم.
شکل 2. ایمیل اسپم
پیوند این نامه به سایت magnit-boss.rocks منتهی شد که پیشنهاد جمع آوری خودکار جوایز و دریافت پول را داد:
شکل 3. صفحه میزبانی شده در دامنه magnit-boss.rocks
برای مطالعه این سایت از
اول از همه، کل تاریخچه این نام دامنه را می یابیم، برای این کار از دستور استفاده می کنیم:
pt-client pdns — query magnet-boss.rocks
این دستور اطلاعات مربوط به تمام DNS های مرتبط با این نام دامنه را نمایش می دهد.
شکل 4. پاسخ از Riskiq API
بیایید پاسخ API را به شکل بصری تری قرار دهیم:
شکل 5. تمام ورودی های پاسخ
برای تحقیقات بیشتر، آدرسهای IP را که این نام دامنه در زمان دریافت نامه در تاریخ 01.08.2019/92.119.113.112/85.143.219.65 به آنها حل و فصل شده است، گرفتیم، این آدرسهای IP آدرسهای زیر XNUMX و XNUMX هستند.
با استفاده از دستور:
pt-client pdns --query
شما می توانید تمام نام های دامنه مرتبط با این آدرس های IP را دریافت کنید.
آدرس IP 92.119.113.112 دارای 42 نام دامنه منحصر به فرد است که به این آدرس IP حل می شود که از جمله آنها نام های زیر است:
- آهنربا-رئیس.باشگاه
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- و دیگران
آدرس IP 85.143.219.65 دارای 44 نام دامنه منحصر به فرد است که به این آدرس IP منتقل می شوند که در میان آنها نام های زیر وجود دارد:
- cvv2.name (سایت فروش اطلاعات کارت اعتباری)
- emaills.world
- www.mailru.space
- و دیگران
ارتباط با این نامهای دامنه نشاندهنده فیشینگ است، اما ما به افراد خوب اعتقاد داریم، بنابراین بیایید سعی کنیم پاداشی معادل 332 روبل دریافت کنیم؟ پس از کلیک بر روی دکمه "YES"، سایت از ما می خواهد که 501.72 روبل از کارت برای باز کردن قفل حساب منتقل کنیم و ما را برای وارد کردن داده ها به سایت as-torpay.info می فرستد.
شکل 6. صفحه اصلی سایت ac-pay2day.net
به نظر یک سایت قانونی است، یک گواهی https وجود دارد، و صفحه اصلی پیشنهاد می کند این سیستم پرداخت را به سایت شما متصل کنید، اما، افسوس، همه لینک های اتصال کار نمی کنند. این نام دامنه فقط به 1 آدرس IP - 190.115.19.74 حل می شود. به نوبه خود دارای 1475 نام دامنه منحصر به فرد است که به این آدرس IP حل می شود، از جمله نام هایی مانند:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- و دیگران
همانطور که می بینیم، Passive DNS به شما امکان می دهد به سرعت و کارآمد اطلاعات مربوط به منبع مورد مطالعه را جمع آوری کنید و حتی نوعی اثر انگشت بسازید که به شما امکان می دهد کل طرح سرقت داده های شخصی، از دریافت آن تا محل فروش احتمالی را کشف کنید.
شکل 7. نقشه سیستم مورد مطالعه
همه چیز آنطور که ما دوست داریم گلگون نیست. به عنوان مثال، چنین تحقیقاتی می توانند به راحتی در CloudFlare یا سرویس های مشابه شکست بخورند. و اثربخشی پایگاه داده جمع آوری شده تا حد زیادی به تعداد درخواست های DNS که از ماژول برای جمع آوری داده های Passive DNS عبور می کنند بستگی دارد. اما با این وجود، Passive DNS منبع اطلاعات اضافی برای محقق است.
نویسنده: متخصص مرکز اورال برای سیستم های امنیتی
منبع: www.habr.com