O sistema de nomes de dominio (DNS) é como unha axenda telefónica que traduce nomes fáciles de usar como "ussc.ru" en enderezos IP. Xa que a actividade DNS está presente en case todas as sesións de comunicación, independentemente do protocolo. Así, o rexistro de DNS é unha valiosa fonte de datos para o especialista en seguridade da información, que lle permite detectar anomalías ou obter datos adicionais sobre o sistema investigado.
En 2004, Florian Weimer propuxo un método de rexistro chamado DNS pasivo, que permite restaurar o historial de cambios de datos DNS coa posibilidade de indexar e buscar, o que pode proporcionar acceso aos seguintes datos:
- Nome de dominio
- O enderezo IP do nome de dominio solicitado
- Data e hora de resposta
- Tipo de resposta
- etc
Os datos para o DNS pasivo recóllense dos servidores DNS recursivos mediante módulos integrados ou interceptando as respostas dos servidores DNS responsables da zona.
Figura 1. DNS pasivo (tomado do sitio )
A peculiaridade do DNS pasivo é que non é necesario rexistrar o enderezo IP do cliente, o que axuda a protexer a privacidade do usuario.
Neste momento, hai moitos servizos que proporcionan acceso a datos DNS pasivos:
Compañía
Seguridade Farsight
VirusTotal
Riskiq
SafeDNS
rutas de seguridade
Cisco
Acceso
A petición
Non require rexistro
A inscrición é gratuíta
A petición
Non require rexistro
A petición
API
Presente
Presente
Presente
Presente
Presente
Presente
Presenza do cliente
Presente
Presente
Presente
Non
Non
Non
Inicio da recollida de datos
Ano 2010
Ano 2013
Ano 2009
Mostra só os últimos 3 meses
Ano 2008
Ano 2006
Táboa 1. Servizos con acceso a datos DNS pasivos
Casos de uso para DNS pasivo
Usando DNS pasivo, pode construír relacións entre nomes de dominio, servidores NS e enderezos IP. Isto permítelle construír mapas dos sistemas en estudo e seguir os cambios nun mapa deste tipo desde o primeiro descubrimento ata o momento actual.
O DNS pasivo tamén facilita a detección de anomalías no tráfico. Por exemplo, o seguimento dos cambios nas zonas NS e os rexistros de tipo A e AAAA permítelle identificar sitios maliciosos mediante o método de fluxo rápido, deseñado para ocultar C&C da detección e bloqueo. Porque os nomes de dominio lexítimos (a excepción dos que se usan para o equilibrio de carga) non cambiarán a miúdo os seus enderezos IP e a maioría das zonas lexítimas raramente cambian os seus servidores NS.
O DNS pasivo, en contraste coa enumeración directa de subdominios mediante dicionarios, permítelle atopar incluso os nomes de dominio máis exóticos, por exemplo, "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Tamén ás veces permite atopar áreas de proba (e vulnerables) do sitio web, materiais para desenvolvedores, etc.
Examinando unha ligazón dun correo electrónico usando DNS pasivo
Polo momento, o spam é unha das principais formas en que un atacante penetra no ordenador dunha vítima ou rouba información confidencial. Tentemos examinar a ligazón dun correo electrónico con DNS pasivo para avaliar a eficacia deste método.
Figura 2. Correo electrónico spam
A ligazón desta carta levou ao sitio magnit-boss.rocks, que ofreceu recoller bonos e recibir cartos automaticamente:
Figura 3. Páxina aloxada no dominio magnit-boss.rocks
Para o estudo deste sitio utilizouse , que xa ten 3 clientes listos , и .
En primeiro lugar, descubriremos todo o historial deste nome de dominio, para iso usaremos o comando:
pt-client pdns --query magnit-boss.rocks
Este comando devolverá información sobre todas as resolucións DNS asociadas a este nome de dominio.
Figura 4. Resposta da API de Riskiq
Imos levar a resposta da API a unha forma máis visual:
Figura 5. Todas as entradas da resposta
Para máis investigación, tomamos os enderezos IP aos que este nome de dominio resolvera no momento en que se recibiu a carta o 01.08.2019/92.119.113.112/85.143.219.65, tales enderezos IP son os seguintes enderezos XNUMX e XNUMX.
Usando o comando:
pt-client pdns --consulta
pode obter todos os nomes de dominio que están asociados a determinados enderezos IP.
O enderezo IP 92.119.113.112 ten 42 nomes de dominio únicos que se resolveron neste enderezo IP, entre os que se atopan os seguintes nomes:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- e outros
O enderezo IP 85.143.219.65 ten 44 nomes de dominio únicos que se resolveron neste enderezo IP, entre os que se atopan os seguintes nomes:
- cvv2.name (sitio web para vender datos de tarxetas de crédito)
- correos electrónicos.mundo
- www.mailru.space
- e outros
As conexións con estes nomes de dominio levan ao phishing, pero cremos na xente amable, entón imos tentar obter unha bonificación de 332 rublos? Despois de facer clic no botón "SI", o sitio pídenos que transfiramos 501.72 rublos da tarxeta para desbloquear a conta e envíanos ao sitio as-torpay.info para introducir datos.
Figura 6. Páxina principal do sitio ac-pay2day.net
Parece un sitio legal, hai un certificado https e a páxina principal ofrece conectar este sistema de pago ao teu sitio, pero, por desgraza, todas as ligazóns para conectarte non funcionan. Este nome de dominio resolve só 1 enderezo IP: 190.115.19.74. Á súa vez, ten 1475 nomes de dominio únicos que se resolven a este enderezo IP, incluíndo nomes como:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- e outros
Como podemos ver, o DNS pasivo permítelle recoller de forma rápida e eficiente datos sobre o recurso en estudo e mesmo construír unha especie de pegada que permita descubrir todo o esquema de roubo de datos persoais, desde a súa recepción ata o probable lugar de venda.
Figura 7. Mapa do sistema obxecto de estudo
Non todo é tan rosa como nos gustaría. Por exemplo, tales investigacións poden romper facilmente en CloudFlare ou servizos similares. E a eficacia da base de datos recollida depende moito do número de solicitudes de DNS que pasan polo módulo para recoller datos de DNS pasivos. Non obstante, o DNS pasivo é unha fonte de información adicional para o investigador.
Autor: Especialista do Centro Ural de Sistemas de Seguridade
Fonte: www.habr.com