Sistèm non domèn (DNS) se tankou yon anyè telefòn ki tradui non itilizatè tankou "ussc.ru" nan adrès IP. Depi aktivite DNS prezan nan prèske tout sesyon kominikasyon yo, kèlkeswa pwotokòl la. Kidonk, enregistrement DNS se yon sous done ki gen anpil valè pou espesyalis sekirite enfòmasyon an, ki pèmèt yo detekte anomali oswa jwenn plis done sou sistèm ankèt la.
An 2004, Florian Weimer te pwopoze yon metòd anrejistreman ki rele Passive DNS, ki pèmèt ou retabli istwa chanjman done DNS ak kapasite pou endèks ak rechèch, ki ka bay aksè a done sa yo:
- Non domèn
- Adrès IP non domèn yo mande a
- Dat ak lè repons
- Kalite repons
- elatriye
Done pou DNS pasif yo kolekte nan sèvè DNS rekursif pa modil entegre oswa lè yo entèsepte repons ki soti nan sèvè DNS ki responsab zòn nan.
Figi 1. DNS pasif (pran nan sit la )
Singularité a nan DNS pasif se ke pa gen okenn bezwen anrejistre adrès IP kliyan an, ki ede pwoteje vi prive itilizatè a.
Nan moman sa a, gen anpil sèvis ki bay aksè a done DNS pasif:
konpayi
Farsight Sekirite
VirusTotal
Riskiq
SafeDNS
santye sekirite yo
Cisco
Aksè
Sou demann
Pa mande pou anrejistreman
Enskripsyon an gratis
Sou demann
Pa mande pou anrejistreman
Sou demann
API
Prezante
Prezante
Prezante
Prezante
Prezante
Prezante
Prezans kliyan
Prezante
Prezante
Prezante
Okenn
Okenn
Okenn
Kòmanse nan koleksyon done
2010 ane
2013 ane
2009 ane
Montre sèlman 3 dènye mwa yo
2008 ane
2006 ane
Tablo 1. Sèvis ki gen aksè a done DNS pasif
Sèvi ak ka pou DNS pasif
Sèvi ak DNS pasif, ou ka bati relasyon ant non domèn, sèvè NS ak adrès IP. Sa a pèmèt ou bati kat nan sistèm yo anba etid ak swiv chanjman nan yon kat jeyografik soti nan premye dekouvèt la nan moman aktyèl la.
DNS pasif tou fè li pi fasil pou detekte anomali nan trafik. Pou egzanp, swiv chanjman nan zòn NS ak dosye kalite A ak AAAA pèmèt ou idantifye sit move lè l sèvi avèk metòd la rapid flux, ki fèt yo kache C&C kont deteksyon ak bloke. Paske non domèn lejitim (ak eksepsyon de sa yo itilize pou balanse chaj) pa pral chanje adrès IP yo souvan, ak zòn ki pi lejitim raman chanje sèvè NS yo.
DNS pasif, kontrèman ak enimerasyon dirèk nan subdomains lè l sèvi avèk diksyonè, pèmèt ou jwenn menm non domèn ki pi ekzotik, pou egzanp, "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Li tou pafwa pèmèt ou jwenn tès (ak vilnerab) zòn nan sit entènèt la, materyèl devlopè, elatriye.
Egzamine yon lyen ki soti nan yon imèl lè l sèvi avèk DNS pasif
Nan moman sa a, spam se youn nan fason prensipal yon atakè antre nan òdinatè yon viktim oswa vòlè enfòmasyon konfidansyèl. Ann eseye egzaminen lyen ki soti nan yon imèl konsa lè l sèvi avèk DNS pasif pou evalye efikasite metòd sa a.
Figi 2. Imèl Spam
Lyen ki soti nan lèt sa a te mennen nan sit la magnit-boss.rocks, ki te ofri otomatikman kolekte bonis ak resevwa lajan:
Figi 3. Paj ki anime sou domèn magnit-boss.rocks
Pou etid la nan sit sa a te itilize , ki deja gen 3 kliyan pare sou li , и .
Premye a tout, nou pral jwenn tout istwa a nan non domèn sa a, pou sa a nou pral sèvi ak lòd la:
pt-client pdns --query magnit-boss.rocks
Kòmand sa a pral retounen enfòmasyon sou tout rezolisyon DNS ki asosye ak non domèn sa a.
Figi 4. Repons ki soti nan API Riskiq
Ann pote repons ki soti nan API a nan yon fòm ki pi vizyèl:
Figi 5. Tout antre nan repons lan
Pou plis rechèch, nou te pran adrès IP yo non domèn sa a te rezoud nan moman an te resevwa lèt la sou 01.08.2019/92.119.113.112/85.143.219.65, adrès IP sa yo se adrès sa yo XNUMX ak XNUMX.
Sèvi ak kòmandman an:
pt-client pdns --query
ou ka jwenn tout non domèn ki asosye ak adrès IP bay yo.
Adrès IP 92.119.113.112 gen 42 non domèn inik ki rezoud nan adrès IP sa a, pami non sa yo:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- ak lòt moun
Adrès IP 85.143.219.65 gen 44 non domèn inik ki rezoud nan adrès IP sa a, pami non sa yo:
- cvv2.name (sit entènèt pou vann detay kat kredi)
- emaills.world
- www.mailru.space
- ak lòt moun
Koneksyon ak non domèn sa yo mennen nan èskrokri, men nou kwè nan moun ki janti, kidonk ann eseye jwenn yon bonis nan 332 rubles? Apre klike sou bouton an "WI", sit la mande nou transfere 501.72 rubles soti nan kat la déblotché kont lan epi voye nou sou sit la as-torpay.info antre done yo.
Figi 6. Paj lakay sit la ac-pay2day.net
Li sanble yon sit legal, gen yon sètifika https, ak paj prensipal la ofri konekte sistèm peman sa a ak sit ou a, men, Ay, tout lyen konekte pa travay. Non domèn sa a rezoud nan sèlman 1 adrès IP - 190.115.19.74. Li, nan vire, gen 1475 non domèn inik ki rezoud nan adrès IP sa a, ki gen ladan non tankou:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- ak lòt moun
Kòm nou ka wè, DNS pasif pèmèt ou byen vit ak efikasite kolekte done sou resous ki anba etid la e menm bati yon kalite anprint ki pèmèt ou dekouvri konplo a tout antye pou vòlè done pèsonèl, soti nan resi li yo nan plas la gen anpil chans pou vann.
Figi 7. Kat sistèm anba etid la
Se pa tout bagay ki woz jan nou ta renmen. Pou egzanp, envestigasyon sa yo ka fasilman kraze sou CloudFlare oswa sèvis menm jan an. Ak efikasite nan baz done kolekte depann anpil sou kantite demann DNS ki pase nan modil la pou kolekte done DNS pasif. Men, DNS pasif se yon sous enfòmasyon adisyonèl pou chèchè a.
Otè: Espesyalis nan Sant Ural pou Sistèm Sekirite
Sous: www.habr.com