Sustav imena domene (DNS) je poput telefonskog imenika koji prevodi imena prilagođena korisniku poput "ussc.ru" u IP adrese. Budući da je DNS aktivnost prisutna u gotovo svim komunikacijskim sesijama, bez obzira na protokol. Stoga je DNS zapis vrijedan izvor podataka za stručnjake za informacijsku sigurnost, omogućujući im otkrivanje anomalija ili dobivanje dodatnih podataka o sustavu koji se proučava.
Godine 2004. Florian Weimer predložio je metodu zapisivanja pod nazivom Pasivni DNS, koja vam omogućuje vraćanje povijesti promjena DNS podataka uz mogućnost indeksiranja i pretraživanja, što može omogućiti pristup sljedećim podacima:
- Naziv domene
- IP adresa traženog naziva domene
- Datum i vrijeme odgovora
- Vrsta odgovora
- itd.
Podaci za pasivni DNS prikupljaju se s rekurzivnih DNS poslužitelja ugrađenim modulima ili presretanjem odgovora s DNS poslužitelja odgovornih za zonu.
Slika 1. Pasivni DNS (preuzeto sa stranice )
Značajka pasivnog DNS-a je da nema potrebe za registracijom klijentove IP adrese, što pomaže u zaštiti privatnosti korisnika.
U ovom trenutku postoje mnoge usluge koje omogućuju pristup pasivnim DNS podacima:
poduzeće
Farsight Security
VirusTotal
Riskiq
SafeDNS
SecurityTrails
Cisco
Dostup
Na zahtjev
Ne zahtijeva registraciju
Registracija je besplatna
Na zahtjev
Ne zahtijeva registraciju
Na zahtjev
API
Predstaviti
Predstaviti
Predstaviti
Predstaviti
Predstaviti
Predstaviti
Dostupnost klijenta
Predstaviti
Predstaviti
Predstaviti
Ne
Ne
Ne
Početak prikupljanja podataka
2010 godina
2013 godina
2009 godina
Prikazuje samo zadnja 3 mjeseca
2008 godina
2006 godina
Tablica 1. Usluge s pristupom pasivnim DNS podacima
Slučajevi korištenja za pasivni DNS
Korištenjem pasivnog DNS-a možete izgraditi veze između naziva domena, NS poslužitelja i IP adresa. To vam omogućuje izradu mapa sustava koji se proučavaju i praćenje promjena na takvoj karti od prvog otkrića do trenutnog trenutka.
Pasivni DNS također olakšava otkrivanje prometnih anomalija. Na primjer, praćenje promjena u NS zonama i zapisima tipa A i AAAA omogućuje vam prepoznavanje zlonamjernih stranica koje koriste metodu brzog protoka, osmišljenu da sakrije C&C od otkrivanja i blokiranja. Budući da legitimni nazivi domena (osim onih koji se koriste za uravnoteženje opterećenja) neće često mijenjati svoje IP adrese, a većina legitimnih zona rijetko mijenja svoje NS poslužitelje.
Pasivni DNS, za razliku od izravnog pretraživanja poddomena pomoću rječnika, omogućuje vam da pronađete čak i najegzotičnije nazive domena, na primjer "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Također vam ponekad omogućuje da pronađete testna (i ranjiva) područja web stranice, materijale za programere itd.
Istraživanje veze iz e-pošte pomoću pasivnog DNS-a
Trenutno je spam jedan od glavnih načina na koji napadač prodire u žrtvino računalo ili krade povjerljive informacije. Pokušajmo ispitati vezu iz takvog pisma koristeći pasivni DNS kako bismo procijenili učinkovitost ove metode.
Slika 2. Spam email
Veza iz ovog pisma vodila je do stranice magnit-boss.rocks, koja je nudila automatsko prikupljanje bonusa i primanje novca:
Slika 3. Stranica smještena na domeni magnit-boss.rocks
Za proučavanje ove stranice koristio sam se , koji već ima 3 gotova klijenta na , и .
Prije svega, saznat ćemo cijelu povijest ovog naziva domene, za to ćemo koristiti naredbu:
pt-client pdns —upit magnet-boss.rocks
Ova naredba će prikazati informacije o svim rješavanjima DNS-a povezanih s ovim nazivom domene.
Slika 4. Odgovor Riskiq API-ja
Stavimo odgovor API-ja u vizualniji oblik:
Slika 5. Svi unosi iz odgovora
Za daljnje istraživanje uzeli smo IP adrese na koje se ovaj naziv domene razriješio u trenutku kada je pismo primljeno 01.08.2019., takve IP adrese su sljedeće adrese 92.119.113.112 i 85.143.219.65.
Pomoću naredbe:
pt-client pdns --upit
možete dobiti sva imena domena koja su povezana s tim IP adresama.
IP adresa 92.119.113.112 ima 42 jedinstvena imena domena koja se rješavaju ovom IP adresom, među kojima su sljedeća imena:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-revizija.xyz
- zep3-www.xyz
- i drugima
IP adresa 85.143.219.65 ima 44 jedinstvena imena domena koja se rješavaju ovom IP adresom, među kojima su sljedeća imena:
- cvv2.name (stranica za prodaju podataka o kreditnim karticama)
- e-pošta.svijet
- www.mailru.space
- i drugima
Veze s ovim imenima domena sugeriraju krađu identiteta, ali vjerujemo u dobre ljude, pa pokušajmo dobiti bonus od 332 501.72 rublja? Nakon klika na gumb "DA", stranica od nas traži prijenos 300 rubalja s kartice za otključavanje računa i šalje nas na stranicu as-torpay.info za unos podataka.
Slika 6. Početna stranica stranice ac-pay2day.net
Izgleda kao legalna stranica, postoji https certifikat, a glavna stranica nudi povezivanje ovog sustava plaćanja s vašom stranicom, ali, nažalost, sve veze za povezivanje ne rade. Ovaj naziv domene rješava samo 1 IP adresu - 190.115.19.74. Ona pak ima 1475 jedinstvenih naziva domena koji se rješavaju ovom IP adresom, uključujući imena kao što su:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- i drugima
Kao što vidimo, Pasivni DNS vam omogućuje brzo i učinkovito prikupljanje podataka o resursu koji se proučava, pa čak i izgradnju neke vrste otiska prsta koji vam omogućuje otkrivanje cijele sheme za krađu osobnih podataka, od primitka do vjerojatnog mjesta prodaje.
Slika 7. Karta sustava koji se proučava
Nije sve tako ružičasto kako bismo htjeli. Na primjer, takve istrage mogu lako propasti na CloudFlareu ili sličnim uslugama. A učinkovitost prikupljene baze podataka uvelike ovisi o broju DNS zahtjeva koji prolaze kroz modul za prikupljanje Pasivnih DNS podataka. Ipak, pasivni DNS je izvor dodatnih informacija za istraživača.
Autor: stručnjak Uralskog centra za sigurnosne sustave
Izvor: www.habr.com