It Domain Name System (DNS) is as in telefoanboek dat brûkerfreonlike nammen lykas "ussc.ru" oerset yn IP-adressen. Sûnt DNS-aktiviteit is oanwêzich yn hast alle kommunikaasje sesjes, nettsjinsteande it protokol. Sa is DNS-logging in weardefolle boarne fan gegevens foar spesjalisten foar ynformaasjefeiligens, wêrtroch't se anomalies kinne ûntdekke of ekstra gegevens krije oer it ûndersochte systeem.
Yn 2004 stelde Florian Weimer in loggingmetoade foar mei de namme Passive DNS, wêrmei jo de skiednis fan DNS-gegevenswizigingen kinne weromsette mei de mooglikheid om te yndeksearjen en te sykjen, dy't tagong kinne jaan ta de folgjende gegevens:
- Domein namme
- IP-adres fan de frege domeinnamme
- Datum en tiid fan antwurd
- Antwurd type
- en sa fierder.
Gegevens foar Passive DNS wurde sammele fan rekursive DNS-tsjinners troch ynboude modules of troch antwurden te ûnderskeppen fan DNS-tsjinners ferantwurdlik foar de sône.
Ofbylding 1. Passive DNS (nommen fan 'e side )
In skaaimerk fan Passive DNS is dat it net nedich is om it IP-adres fan 'e kliïnt te registrearjen, wat helpt om de privacy fan brûkers te beskermjen.
Op it stuit binne d'r in protte tsjinsten dy't tagong jouwe ta Passive DNS-gegevens:
It bedriuw
Farsight Feiligens
VirusTotal
Riskiq
SafeDNS
SecurityTrails
Cisco
Tagong
Op oanfraach
Net nedich registraasje
Registraasje is fergees
Op oanfraach
Net nedich registraasje
Op oanfraach
API
Oanwêzich
Oanwêzich
Oanwêzich
Oanwêzich
Oanwêzich
Oanwêzich
Beskikberens fan in klant
Oanwêzich
Oanwêzich
Oanwêzich
Is ôfwêzich
Is ôfwêzich
Is ôfwêzich
Begjin fan gegevenssammeling
2010 god
2013 god
2009 god
Toant allinich de lêste 3 moannen
2008 god
2006 god
Tabel 1. Tsjinsten mei tagong ta Passive DNS gegevens
Brûk Cases foar Passive DNS
Mei help fan Passive DNS kinne jo ferbinings bouwe tusken domeinnammen, NS-tsjinners en IP-adressen. Hjirmei kinne jo kaarten bouwe fan 'e ûndersochte systemen en feroaringen op sa'n kaart folgje fan 'e earste ûntdekking oant it hjoeddeistige momint.
Passive DNS makket it ek makliker om ferkearsûngelikens te ûntdekken. Bygelyks, it folgjen fan feroaringen yn NS-sônes en records fan type A en AAAA kinne jo identifisearje kweade siden dy't de snelle flux-metoade brûke, ûntworpen om C&C te ferbergjen fan deteksje en blokkearjen. Omdat legitime domeinnammen (útsein dyjingen dy't brûkt wurde foar load balancing) sil net feroarje harren IP-adressen faak, en de measte legitime sônes komselden feroarje harren NS tsjinners.
Passive DNS, yn tsjinstelling ta direkte sykjen fan subdomeinen mei wurdboeken, kinne jo sels de meast eksoatyske domeinnammen fine, bygelyks "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". It lit jo ek soms testen (en kwetsbere) gebieten fan 'e webside, ûntwikkeldersmaterialen, ensfh.
Undersykje in keppeling fan in e-post mei Passive DNS
Op it stuit is spam ien fan 'e wichtichste manieren wêrop in oanfaller de kompjûter fan in slachtoffer penetreart of fertroulike ynformaasje steals. Litte wy besykje de keppeling te ûndersykjen fan sa'n brief mei Passive DNS om de effektiviteit fan dizze metoade te evaluearjen.
figuer 2. Spam email
De keppeling fan dizze brief late ta de side magnit-boss.rocks, dy't oanbean om automatysk bonussen te sammeljen en jild te ûntfangen:
figuer 3. Side hosted op it domein magnit-boss.rocks
Om dizze side te studearjen, brûkte ik , dy't al 3 ready-made kliïnten op hat , и .
Alderearst sille wy de hiele skiednis fan dizze domeinnamme fine, hjirfoar sille wy it kommando brûke:
pt-client pdns —query magnet-boss.rocks
Dit kommando sil ynformaasje werjaan oer alle DNS-oplossingen dy't ferbûn binne mei dizze domeinnamme.
figuer 4. Antwurd fan Riskiq API
Litte wy it antwurd fan 'e API yn in mear fisuele foarm sette:
figuer 5. Alle yngongen út it antwurd
Foar fierdere ûndersyk namen wy de IP-adressen wêrmei't dizze domeinnamme oplost waard op it momint dat de brief waard ûntfongen op 01.08.2019/92.119.113.112/85.143.219.65, sokke IP-adressen binne de folgjende adressen XNUMX en XNUMX.
Mei it kommando:
pt-client pdns --query
jo kinne alle domeinnammen krije dy't ferbûn binne mei dizze IP-adressen.
It IP-adres 92.119.113.112 hat 42 unike domeinnammen dy't nei dit IP-adres oplosse, wêrûnder de folgjende nammen:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- en oaren
It IP-adres 85.143.219.65 hat 44 unike domeinnammen dy't nei dit IP-adres oplosse, wêrûnder de folgjende nammen:
- cvv2.name (side foar it ferkeapjen fan kredytkaartgegevens)
- emaills.world
- www.mailru.space
- en oaren
Ferbinings mei dizze domeinnammen suggerearje phishing, mar wy leauwe yn goede minsken, dus litte wy besykje in bonus fan 332 roebel te krijen? Nei it klikken op de knop "JA" freget de side ús om 501.72 roebel oer te setten fan 'e kaart om it akkount te ûntsluten en stjoert ús nei de side as-torpay.info om gegevens yn te fieren.
figuer 6. Thússide fan de side ac-pay2day.net
It liket op in juridyske side, d'r is in https-sertifikaat, en de haadside biedt dit betelsysteem oan jo side te ferbinen, mar, helaas, alle keppelings om te ferbinen wurkje net. Dizze domeinnamme lost allinich op 1 IP-adres - 190.115.19.74. It hat op syn beurt 1475 unike domeinnammen dy't oplosse nei dit IP-adres, ynklusyf nammen as:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- en oaren
Sa't wy kinne sjen, Passive DNS kinne jo fluch en effisjint sammelje gegevens oer de boarne ûnder stúdzje en sels bouwe in soarte fan fingerprint wêrmei jo te ûntdekken in hiele skema foar stelle persoanlike gegevens, fan syn ûntfangst nei it wierskynlik plak fan ferkeap.
figuer 7. Kaart fan it systeem ûnder stúdzje
Net alles is sa roze as wy wolle. Bygelyks, sokke ûndersiken kinne maklik mislearje op CloudFlare of ferlykbere tsjinsten. En de effektiviteit fan 'e sammele databank hinget sterk ôf fan it oantal DNS-oanfragen dat troch de module giet foar it sammeljen fan Passive DNS-gegevens. Mar lykwols is Passive DNS in boarne fan ekstra ynformaasje foar de ûndersiker.
Auteur: Spesjalist fan it Ural Center for Security Systems
Boarne: www.habr.com