Tha an Siostam Ainm Fearainn (DNS) coltach ri leabhar fòn a bhios ag eadar-theangachadh ainmean furasta a chleachdadh mar “ussc.ru” gu seòlaidhean IP. Leis gu bheil gnìomhachd DNS an làthair anns cha mhòr a h-uile seisean conaltraidh, ge bith dè am protocol. Mar sin, tha logadh DNS na stòr dàta luachmhor airson eòlaichean tèarainteachd fiosrachaidh, a leigeas leotha neo-riaghailteachdan a lorg no dàta a bharrachd fhaighinn mun t-siostam fo sgrùdadh.
Ann an 2004, mhol Florian Weimer dòigh logaidh ris an canar Passive DNS, a leigeas leat eachdraidh atharrachaidhean dàta DNS a thoirt air ais le comas clàr-amais agus sgrùdadh, a bheir cothrom air an dàta a leanas:
- Ainm fearainn
- Seòladh IP an ainm àrainn a chaidh iarraidh
- Ceann-latha agus àm freagairt
- Seòrsa freagairt
- agus mar sin air adhart.
Tha dàta airson DNS fulangach air a chruinneachadh bho luchd-frithealaidh DNS ath-chuairteach le modalan togte no le bhith a’ toirt a-steach freagairtean bho na frithealaichean DNS le uallach airson an sòn.
Figear 1. DNS fulangach (air a thoirt bhon làrach )
Is e feart de Passive DNS nach eil feum air seòladh IP an neach-dèiligidh a chlàradh, a chuidicheas le bhith a’ dìon prìobhaideachd luchd-cleachdaidh.
Aig an àm seo, tha mòran sheirbheisean ann a bheir cothrom air dàta fulangach DNS:
A 'chompanaidh
Tèarainteachd Farsight
VirusTotal
Cunnart
SàbhailteDNS
Slighean tèarainteachd
Cisco
Ruigsinneachd
Air iarrtas
Chan eil feum air clàradh
Tha clàradh an-asgaidh
Air iarrtas
Chan eil feum air clàradh
Air iarrtas
API
An làthair
An làthair
An làthair
An làthair
An làthair
An làthair
Ri fhaighinn neach-dèiligidh
An làthair
An làthair
An làthair
Chan eil
Chan eil
Chan eil
Tòisich air cruinneachadh dàta
Bliadhna 2010
Bliadhna 2013
Bliadhna 2009
A’ nochdadh dìreach na 3 mìosan a dh’ fhalbh
Bliadhna 2008
Bliadhna 2006
Clàr 1. Seirbheisean le cothrom air dàta fulangach DNS
Cleachd Cùisean airson DNS fulangach
Le bhith a’ cleachdadh DNS fulangach faodaidh tu ceanglaichean a thogail eadar ainmean fearainn, frithealaichean NS agus seòlaidhean IP. Leigidh seo leat mapaichean de na siostaman fo sgrùdadh a thogail agus sùil a chumail air atharrachaidhean ann am mapa mar sin bhon chiad lorg chun an latha an-diugh.
Bidh DNS fulangach cuideachd ga dhèanamh nas fhasa neo-riaghailteachdan trafaic a lorg. Mar eisimpleir, le bhith a’ cumail sùil air atharrachaidhean ann an sònaichean NS agus clàran de sheòrsa A agus AAAA leigidh sin dhut làraich droch-rùnach a chomharrachadh a bhios a’ cleachdadh an dòigh flux luath, air a dhealbhadh gus C&C fhalach bho lorg is bacadh. Leis nach atharraich ainmean fearainn dligheach (ach a-mhàin an fheadhainn a thathas a’ cleachdadh airson cothromachadh luchdan) na seòlaidhean IP aca gu tric, agus is ann ainneamh a bhios a’ mhòr-chuid de shònaichean dligheach ag atharrachadh na frithealaichean NS aca.
Leigidh DNS fulangach, an taca ri sgrùdadh dìreach air fo-roinnean a’ cleachdadh fhaclairean, dhut eadhon na h-ainmean fearainn as iomallaiche a lorg, mar eisimpleir “222qmxacaiqaaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. Bidh e cuideachd uaireannan a’ toirt cothrom dhut raointean deuchainn (agus so-leònte) den làrach-lìn a lorg, stuthan leasaiche, msaa.
A’ rannsachadh ceangal bho phost-d a’ cleachdadh Passive DNS
An-dràsta, is e spam aon de na prìomh dhòighean anns am bi neach-ionnsaigh a’ dol a-steach do choimpiutair neach-fulaing no a’ goid fiosrachadh dìomhair. Feuchaidh sinn ri sgrùdadh a dhèanamh air a ’cheangal bho litir mar sin a’ cleachdadh Passive DNS gus èifeachdas an dòigh seo a mheasadh.
Figear 2. Post-d spam
Mar thoradh air a’ cheangal bhon litir seo chaidh an làrach magnit-boss.rocks, a bha a’ tabhann bònasan a chruinneachadh gu fèin-ghluasadach agus airgead fhaighinn:
Figear 3. Duilleag air aoigheachd air an àrainn magnit-boss.rocks
Airson an làrach seo a sgrùdadh, chleachd mi , aig a bheil 3 luchd-dèiligidh deiseil mu thràth , и .
An toiseach, gheibh sinn a-mach eachdraidh iomlan an ainm àrainn seo, airson seo cleachdaidh sinn an àithne:
pt-client pdns — ceist magnet-boss.rocks
Seallaidh an àithne seo fiosrachadh mu gach fuasgladh DNS co-cheangailte ris an ainm àrainn seo.
Figear 4. Freagairt bho Riskiq API
Nach cuir sinn am freagairt bhon API ann an cruth nas lèirsinneach:
Figear 5. A h-uile inntrigeadh bhon fhreagairt
Airson tuilleadh rannsachaidh, thug sinn na seòlaidhean IP dhan deach an t-ainm àrainn seo fhuasgladh aig an àm a fhuaireadh an litir air 01.08.2019/92.119.113.112/85.143.219.65, is iad na seòlaidhean IP sin na seòlaidhean a leanas XNUMX agus XNUMX.
A 'cleachdadh an òrdugh:
pt-client pdns -- ceist
gheibh thu a h-uile ainm àrainn a tha co-cheangailte ris na seòlaidhean IP sin.
Tha 92.119.113.112 ainm àrainn sònraichte aig an t-seòladh IP 42 a tha a’ fuasgladh don t-seòladh IP seo, nam measg tha na h-ainmean a leanas:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-sgrùdadh.xyz
- zep3- www.xyz
- agus feadhainn eile
Tha 85.143.219.65 ainm àrainn sònraichte aig an t-seòladh IP 44 a tha a’ fuasgladh don t-seòladh IP seo, nam measg tha na h-ainmean a leanas:
- cvv2.name (làrach airson dàta cairt creideas a reic)
- emaills.saoghal
- www.mailru.space
- agus feadhainn eile
Tha ceanglaichean leis na h-ainmean fearainn sin a’ moladh fiasgach, ach tha sinn a’ creidsinn ann an daoine math, mar sin feuchaidh sinn ri bònas fhaighinn de 332 rubles? Às deidh dhut briogadh air a ’phutan“ THA ”, tha an làrach ag iarraidh oirnn 501.72 rubles a ghluasad bhon chairt gus an cunntas fhosgladh agus a chuir chun làrach mar-torpay.info gus dàta a chuir a-steach.
Figear 6. Duilleag dachaigh na làraich ac-pay2day.net
Tha e coltach ri làrach laghail, tha teisteanas https ann, agus tha am prìomh dhuilleag a’ tabhann an siostam pàighidh seo a cheangal ris an làrach agad, ach, alas, chan eil a h-uile ceangal airson ceangal ag obair. Bidh an t-ainm àrainn seo a’ fuasgladh gu dìreach 1 seòladh IP - 190.115.19.74. Tha e an uair sin 1475 ainmean-fearainn sònraichte a tha a 'fuasgladh don t-seòladh IP seo, a' gabhail a-steach ainmean mar:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- agus feadhainn eile
Mar a chì sinn, leigidh DNS fulangach leat dàta a chruinneachadh gu sgiobalta agus gu h-èifeachdach mun ghoireas a tha fo sgrùdadh agus eadhon seòrsa de lorgan-meòir a thogail a leigeas leat sgeama slàn a lorg airson dàta pearsanta a ghoid, bhon a gheibhear e chun àite reic a dh’ fhaodadh a bhith ann.
Figear 7. Mapa den t-siostam fo sgrùdadh
Chan eil a h-uile dad cho rosach ‘s a bu mhath leinn. Mar eisimpleir, faodaidh sgrùdaidhean mar sin fàiligeadh gu furasta air CloudFlare no seirbheisean coltach ris. Agus tha èifeachdas an stòr-dàta cruinnichte gu mòr an urra ris an àireamh de dh ’iarrtasan DNS a’ dol tron mhodal airson dàta fulangach DNS a chruinneachadh. Ach a dh’ aindeoin sin, tha DNS fulangach na stòr fiosrachaidh a bharrachd don neach-rannsachaidh.
Ùghdar: Speisealaiche an Ionad Ural airson Siostaman Tèarainteachd
Source: www.habr.com