Le système de noms de domaine (DNS) est comme un annuaire téléphonique qui traduit des noms conviviaux comme « ussc.ru » en adresses IP. Puisque l’activité DNS est présente dans presque toutes les sessions de communication, quel que soit le protocole. Ainsi, la journalisation DNS est une source de données précieuse pour les spécialistes de la sécurité de l'information, leur permettant de détecter des anomalies ou d'obtenir des données supplémentaires sur le système étudié.
En 2004, Florian Weimer a proposé une méthode de journalisation appelée Passive DNS, qui permet de restaurer l'historique des modifications des données DNS avec la possibilité d'indexer et de rechercher, ce qui peut donner accès aux données suivantes :
- Доменное имя
- Adresse IP du nom de domaine demandé
- Date et heure de réponse
- Type de réponse
- etc.
Les données du DNS passif sont collectées à partir des serveurs DNS récursifs par des modules intégrés ou en interceptant les réponses des serveurs DNS responsables de la zone.
Figure 1. DNS passif (extrait du site )
Une caractéristique du DNS passif est qu'il n'est pas nécessaire d'enregistrer l'adresse IP du client, ce qui contribue à protéger la confidentialité des utilisateurs.
À l'heure actuelle, il existe de nombreux services qui permettent d'accéder aux données DNS passifs :
société
Sécurité de vision de loin
VirusTotal
Risqué
SafeDNS
SécuritéTrails
Cisco
Accès
Sur demande
Ne nécessite pas d'inscription
L'inscription est gratuite
Sur demande
Ne nécessite pas d'inscription
Sur demande
API
Présenter
Présenter
Présenter
Présenter
Présenter
Présenter
Disponibilité d'un client
Présenter
Présenter
Présenter
Aucun
Aucun
Aucun
Début de la collecte des données
2010 année
2013 année
2009 année
Affiche uniquement les 3 derniers mois
2008 année
2006 année
Tableau 1. Services avec accès aux données DNS passif
Cas d'utilisation du DNS passif
En utilisant le DNS passif, vous pouvez établir des connexions entre les noms de domaine, les serveurs NS et les adresses IP. Cela vous permet de créer des cartes des systèmes étudiés et de suivre les modifications d'une telle carte depuis la première découverte jusqu'au moment actuel.
Le DNS passif facilite également la détection des anomalies de trafic. Par exemple, le suivi des modifications dans les zones NS et les enregistrements de type A et AAAA vous permet d'identifier les sites malveillants qui utilisent la méthode fast flux, conçue pour masquer C&C de la détection et du blocage. Parce que les noms de domaine légitimes (à l'exception de ceux utilisés pour l'équilibrage de charge) ne changeront pas souvent leurs adresses IP et que la plupart des zones légitimes changent rarement leurs serveurs NS.
Le DNS passif, contrairement à la recherche directe de sous-domaines à l'aide de dictionnaires, vous permet de trouver même les noms de domaine les plus exotiques, par exemple « 222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru ». Il vous permet aussi parfois de trouver des zones de test (et vulnérables) du site Web, du matériel de développement, etc.
Rechercher un lien à partir d'un e-mail à l'aide du DNS passif
Actuellement, le spam constitue l’un des principaux moyens par lesquels un attaquant pénètre dans l’ordinateur d’une victime ou vole des informations confidentielles. Essayons d'examiner le lien d'une telle lettre en utilisant le DNS passif pour évaluer l'efficacité de cette méthode.
Figure 2. Spam
Le lien de cette lettre menait vers le site magnit-boss.rocks, qui proposait de collecter automatiquement des bonus et de recevoir de l'argent :
Figure 3. Page hébergée sur le domaine magnit-boss.rocks
Pour étudier ce site, j'ai utilisé , qui compte déjà 3 clients prêts à l'emploi sur , и .
Tout d'abord, nous allons découvrir tout l'historique de ce nom de domaine, pour cela nous utiliserons la commande :
pt-client pdns — requête magnet-boss.rocks
Cette commande affichera des informations sur toutes les résolutions DNS associées à ce nom de domaine.
Figure 4. Réponse de l'API Riskiq
Mettons la réponse de l'API sous une forme plus visuelle :
Figure 5. Toutes les entrées de la réponse
Pour des recherches plus approfondies, nous avons pris les adresses IP auxquelles ce nom de domaine était résolu au moment de la réception de la lettre le 01.08.2019/92.119.113.112/85.143.219.65, ces adresses IP sont les adresses suivantes XNUMX et XNUMX.
En utilisant la commande :
pt-client pdns --query
vous pouvez obtenir tous les noms de domaine associés à ces adresses IP.
L'adresse IP 92.119.113.112 possède 42 noms de domaine uniques qui correspondent à cette adresse IP, parmi lesquels se trouvent les noms suivants :
- aimant-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- et etc
L'adresse IP 85.143.219.65 possède 44 noms de domaine uniques qui correspondent à cette adresse IP, parmi lesquels les noms suivants :
- cvv2.name (site de vente de données de cartes de crédit)
- emaills.world
- www.mailru.space
- et etc
Les connexions avec ces noms de domaine suggèrent du phishing, mais nous croyons aux bonnes personnes, alors essayons d'obtenir un bonus de 332 501.72 roubles ? Après avoir cliqué sur le bouton « OUI », le site nous demande de transférer 300 roubles de la carte pour déverrouiller le compte et nous envoie au site as-torpay.info pour saisir les données.
Figure 6. Page d'accueil du site ac-pay2day.net
Cela ressemble à un site légal, il y a un certificat https, et la page principale propose de connecter ce système de paiement à votre site, mais, hélas, tous les liens pour se connecter ne fonctionnent pas. Ce nom de domaine se résout en une seule adresse IP : 1. Il possède à son tour 190.115.19.74 1475 noms de domaine uniques qui correspondent à cette adresse IP, notamment des noms tels que :
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- et etc
Comme on peut le constater, le DNS passif permet de collecter rapidement et efficacement des données sur la ressource étudiée et même de créer une sorte d'empreinte digitale qui permet de découvrir tout un stratagème de vol de données personnelles, depuis sa réception jusqu'au lieu de vente probable.
Figure 7. Carte du système étudié
Tout n’est pas aussi rose que nous le souhaiterions. Par exemple, de telles enquêtes peuvent facilement échouer sur CloudFlare ou des services similaires. Et l'efficacité de la base de données collectée dépend grandement du nombre de requêtes DNS transitant par le module de collecte de données DNS passif. Mais le DNS passif constitue néanmoins une source d’informations complémentaires pour le chercheur.
Auteur : Spécialiste du Centre de l'Oural pour les systèmes de sécurité
Source: habr.com