Domain Name System (DNS) on kuin puhelinluettelo, joka kääntää käyttäjäystävälliset nimet, kuten "ussc.ru" IP-osoitteiksi. Koska DNS-toimintaa esiintyy melkein kaikissa viestintäistunnoissa protokollasta riippumatta. DNS-loki on siis arvokas tietolähde tietoturva-asiantuntijoille, jonka avulla he voivat havaita poikkeavuuksia tai saada lisätietoa tutkittavasta järjestelmästä.
Vuonna 2004 Florian Weimer ehdotti kirjausmenetelmää nimeltä Passive DNS, jonka avulla voit palauttaa DNS-tietojen muutoshistorian indeksointi- ja hakukyvyllä, joka voi tarjota pääsyn seuraaviin tietoihin:
- Verkkotunnuksen nimi
- Pyydetyn verkkotunnuksen IP-osoite
- Vastauksen päivämäärä ja kellonaika
- Vastaustyyppi
- jne.
Passiivisen DNS:n tiedot kerätään rekursiivisilta DNS-palvelimista sisäänrakennetuilla moduuleilla tai sieppaamalla vyöhykkeestä vastaavien DNS-palvelimien vastaukset.
Kuva 1. Passiivinen DNS (otettu sivustolta
Passiivisen DNS:n ominaisuus on, että asiakkaan IP-osoitetta ei tarvitse rekisteröidä, mikä auttaa suojaamaan käyttäjien yksityisyyttä.
Tällä hetkellä on monia palveluita, jotka tarjoavat pääsyn passiivisiin DNS-tietoihin:
yritys
Farsight Security
VirusTotal
Riskiq
SafeDNS
SecurityTrails
Cisco
Pääsy
Pyynnöstä
Ei vaadi rekisteröitymistä
Rekisteröityminen on ilmaista
Pyynnöstä
Ei vaadi rekisteröitymistä
Pyynnöstä
API
Esittää
Esittää
Esittää
Esittää
Esittää
Esittää
Asiakkaan saatavuus
Esittää
Esittää
Esittää
Ei mitään
Ei mitään
Ei mitään
Tiedonkeruun aloitus
2010 vuosi
2013 vuosi
2009 vuosi
Näyttää vain viimeiset 3 kuukautta
2008 vuosi
2006 vuosi
Taulukko 1. Palvelut, joilla on pääsy passiiviseen DNS-dataan
Käytä passiivisen DNS:n tapauksia
Passiivisen DNS:n avulla voit rakentaa yhteyksiä verkkotunnusten, NS-palvelimien ja IP-osoitteiden välille. Näin voit rakentaa karttoja tutkittavista järjestelmistä ja seurata tällaisen kartan muutoksia ensimmäisestä löydöstä nykyhetkeen.
Passiivinen DNS helpottaa myös liikennepoikkeamien havaitsemista. Esimerkiksi seuraamalla muutoksia NS-vyöhykkeissä ja A- ja AAAA-tyyppisten tietueiden avulla voit tunnistaa haitalliset sivustot, jotka käyttävät nopeaa flux-menetelmää, joka on suunniteltu piilottamaan C&C havaitsemiselta ja estämiseltä. Koska lailliset verkkotunnukset (paitsi ne, joita käytetään kuormituksen tasapainottamiseen) eivät muuta IP-osoitteitaan usein, ja useimmat lailliset vyöhykkeet vaihtavat harvoin NS-palvelimiaan.
Passiivinen DNS, toisin kuin suora haku aliverkkotunnuksista sanakirjojen avulla, mahdollistaa jopa eksoottisimpien verkkotunnusten löytämisen, esimerkiksi "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Sen avulla voit myös joskus löytää verkkosivuston testausalueita (ja haavoittuvia) ja kehittäjämateriaalia jne.
Sähköpostin linkin tutkiminen passiivisen DNS:n avulla
Tällä hetkellä roskaposti on yksi tärkeimmistä tavoista, joilla hyökkääjä tunkeutuu uhrin tietokoneeseen tai varastaa luottamuksellisia tietoja. Yritetään tutkia tällaisen kirjeen linkkiä käyttämällä passiivista DNS:ää tämän menetelmän tehokkuuden arvioimiseksi.
Kuva 2. Roskaposti
Linkki tästä kirjeestä johti sivustolle magnit-boss.rocks, joka tarjoutui keräämään automaattisesti bonuksia ja vastaanottamaan rahaa:
Kuva 3. Sivu, jota isännöidään verkkotunnuksessa magnit-boss.rocks
Tämän sivuston tutkimiseen käytin
Ensinnäkin selvitämme tämän verkkotunnuksen koko historian, käytämme tätä komentoa:
pt-client pdns — kysely magnet-boss.rocks
Tämä komento näyttää tiedot kaikista tähän verkkotunnukseen liittyvistä DNS-ratkaisuista.
Kuva 4. Riskiq API:n vastaus
Laitetaan sovellusliittymän vastaus visuaalisempaan muotoon:
Kuva 5. Kaikki vastauksen merkinnät
Lisätutkimusta varten otimme IP-osoitteet, joihin tämä verkkotunnus päätyi, kun kirje vastaanotettiin 01.08.2019, tällaisia IP-osoitteita ovat seuraavat osoitteet 92.119.113.112 ja 85.143.219.65.
Käyttämällä komentoa:
pt-client pdns --kysely
voit saada kaikki verkkotunnukset, jotka liittyvät näihin IP-osoitteisiin.
IP-osoitteessa 92.119.113.112 on 42 yksilöivää verkkotunnusta, jotka päätyvät tähän IP-osoitteeseen, mukaan lukien seuraavat nimet:
- magneetti-pomo.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- ja muut
IP-osoitteessa 85.143.219.65 on 44 yksilöivää verkkotunnusta, jotka päätyvät tähän IP-osoitteeseen, mukaan lukien seuraavat nimet:
- cvv2.name (luottokorttitietojen myyntisivusto)
- emaills.world
- www.mailru.space
- ja muut
Yhteydet näihin verkkotunnuksiin viittaavat tietojenkalasteluun, mutta uskomme hyviin ihmisiin, joten yritetään saada 332 501.72 ruplan bonus? Kun olet napsauttanut "KYLLÄ" -painiketta, sivusto pyytää meitä siirtämään 300 ruplaa kortilta tilin lukituksen avaamiseksi ja lähettää meidät sivustolle as-torpay.info syöttämään tietoja.
Kuva 6. Sivuston ac-pay2day.net kotisivu
Se näyttää lailliselta sivustolta, siellä on https-sertifikaatti ja pääsivu tarjoaa tämän maksujärjestelmän yhdistämisen sivustoosi, mutta valitettavasti kaikki linkit yhdistämiseen eivät toimi. Tämä verkkotunnus ratkaisee vain yhden IP-osoitteen - 1. Sillä puolestaan on 190.115.19.74 yksilöllistä verkkotunnusta, jotka päätyvät tähän IP-osoitteeseen, mukaan lukien seuraavat nimet:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- ja muut
Kuten näemme, passiivisen DNS:n avulla voit nopeasti ja tehokkaasti kerätä tietoja tutkittavasta resurssista ja jopa rakentaa eräänlaisen sormenjäljen, jonka avulla voit paljastaa koko järjestelmän henkilötietojen varastamiseksi sen vastaanottamisesta todennäköiseen myyntipaikkaan.
Kuva 7. Kartta tutkittavasta järjestelmästä
Kaikki ei ole niin ruusuista kuin haluaisimme. Tällaiset tutkimukset voivat esimerkiksi epäonnistua helposti CloudFlaressa tai vastaavissa palveluissa. Ja kerätyn tietokannan tehokkuus riippuu suuresti passiivisten DNS-tietojen keräämismoduulin läpi kulkevien DNS-pyyntöjen määrästä. Passiivinen DNS on kuitenkin tutkijalle lisäinformaation lähde.
Kirjoittaja: Uralin turvajärjestelmien keskuksen asiantuntija
Lähde: will.com