A Domain Name System (DNS) olyan, mint egy telefonkönyv, amely a felhasználóbarát neveket, például az „ussc.ru”-t IP-címekké fordítja. Mivel a DNS-tevékenység szinte minden kommunikációs munkamenetben jelen van, a protokolltól függetlenül. Így a DNS-naplózás értékes adatforrás az információbiztonsági szakember számára, lehetővé téve a rendellenességek észlelését vagy további adatok beszerzését a vizsgált rendszerről.
2004-ben Florian Weimer egy Passzív DNS nevű naplózási módszert javasolt, amely lehetővé teszi a DNS-adatok változásainak visszaállítását az indexelés és a keresés lehetőségével, amely hozzáférést biztosít a következő adatokhoz:
- Domain név
- A kért domain név IP-címe
- A válasz dátuma és időpontja
- Válasz típusa
- stb
A passzív DNS-adatokat a rekurzív DNS-kiszolgálókról gyűjtik be a beépített modulok vagy a zónáért felelős DNS-kiszolgálók válaszainak lehallgatása.
1. ábra: Passzív DNS (a webhelyről
A passzív DNS sajátossága, hogy nincs szükség a kliens IP-címének regisztrálására, ami segít megvédeni a felhasználók adatait.
Jelenleg számos szolgáltatás nyújt hozzáférést a passzív DNS-adatokhoz:
társaság
Farsight Security
VirusTotal
Riskiq
SafeDNS
biztonsági nyomvonalak
Cisco
Hozzáférés
Kérésre
Nem igényel regisztrációt
A regisztráció ingyenes
Kérésre
Nem igényel regisztrációt
Kérésre
API
Ajándék
Ajándék
Ajándék
Ajándék
Ajándék
Ajándék
Ügyfél jelenléte
Ajándék
Ajándék
Ajándék
Egyik sem
Egyik sem
Egyik sem
Az adatgyűjtés kezdete
2010 év
2013 év
2009 év
Csak az elmúlt 3 hónapot jeleníti meg
2008 év
2006 év
1. táblázat: Passzív DNS-adatokhoz hozzáféréssel rendelkező szolgáltatások
Használati esetek a passzív DNS-hez
A passzív DNS használatával kapcsolatokat építhet ki a tartománynevek, az NS-kiszolgálók és az IP-címek között. Ez lehetővé teszi, hogy térképeket készítsen a vizsgált rendszerekről, és nyomon kövesse a változásokat az ilyen térképeken az első felfedezéstől a jelenlegi pillanatig.
A passzív DNS a forgalom anomáliáinak észlelését is megkönnyíti. Például az NS-zónák változásainak, valamint az A és AAAA típusú rekordoknak a nyomon követése lehetővé teszi a rosszindulatú webhelyek azonosítását a gyors fluxus módszerrel, amelyet arra terveztek, hogy elrejtse a C&C-t az észlelés és blokkolás elől. Mivel a legális tartománynevek (a terheléselosztáshoz használtak kivételével) nem gyakran változtatják meg IP-címüket, és a legtöbb legitim zóna ritkán változtatja meg az NS-kiszolgálókat.
A passzív DNS, ellentétben az aldomainek szótárak segítségével történő közvetlen felsorolásával, lehetővé teszi a legegzotikusabb domainnevek megtalálását is, például „222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. Néha lehetővé teszi a webhely tesztelési (és sebezhető) területeinek, fejlesztői anyagoknak stb.
Egy e-mailből származó hivatkozás vizsgálata passzív DNS segítségével
Jelenleg a spam az egyik fő módja annak, ahogyan a támadó behatol az áldozat számítógépébe, vagy bizalmas információkat lop el. Próbáljuk meg megvizsgálni az ilyen e-mailekből származó hivatkozást passzív DNS segítségével, hogy értékeljük a módszer hatékonyságát.
2. ábra Spam email
Az ebből a levélből származó link a magnit-boss.rocks oldalra vezetett, amely felajánlotta, hogy automatikusan begyűjti a bónuszokat és pénzt kap:
3. ábra: A magnit-boss.rocks tartományban tárolt oldal
Ennek az oldalnak a tanulmányozására használták
Először is megtudjuk ennek a domain névnek a teljes történetét, ehhez a parancsot használjuk:
pt-client pdns --query magnit-boss.rocks
Ez a parancs a tartománynévhez társított összes DNS-feloldásról ad információt.
4. ábra: A Riskiq API válasza
Tegyük át az API válaszát egy vizuálisabb formába:
5. ábra: A válasz összes bejegyzése
A további kutatáshoz azokat az IP-címeket vettük alapul, amelyekre ez a domain név feloldódott a levél 01.08.2019. 92.119.113.112. 85.143.219.65-i beérkezésekor, ilyen IP-címek a következő XNUMX és XNUMX címek.
A parancs használatával:
pt-client pdns --query
megkaphatja az összes olyan domain nevet, amely az adott IP-címekhez van társítva.
A 92.119.113.112 IP-cím 42 egyedi domain névvel rendelkezik, amelyek erre az IP-címre lettek feloldva, köztük a következő nevek:
- magnit-főnök.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- és mások
A 85.143.219.65 IP-cím 44 egyedi tartománynévvel rendelkezik, amelyek erre az IP-címre lettek feloldva, köztük a következő nevek:
- cvv2.name (hitelkártya-adatok értékesítésére szolgáló webhely)
- emaills.world
- www.mailru.space
- és mások
Az ezekkel a domain nevekkel való kapcsolatok adathalászathoz vezetnek, de hiszünk a kedves emberekben, ezért próbáljunk meg 332 501.72 rubel bónuszt szerezni? Miután az „IGEN” gombra kattintott, a webhely arra kér bennünket, hogy utaljunk át 300 rubelt a kártyáról a számla feloldásához, és elküld minket az as-torpay.info webhelyre az adatok megadásához.
6. ábra. Az ac-pay2day.net oldal főoldala
Úgy néz ki, mint egy legális webhely, van https-tanúsítvány, és a főoldal felajánlja ennek a fizetési rendszernek a webhelyéhez való csatlakoztatását, de sajnos az összes csatlakozási hivatkozás nem működik. Ez a tartománynév csak 1 IP-címet jelent - 190.115.19.74. Ennek viszont 1475 egyedi domain neve van, amelyek erre az IP-címre bontakoznak ki, beleértve a következőket:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- és mások
Amint látjuk, a passzív DNS lehetővé teszi, hogy gyorsan és hatékonyan gyűjtsön adatokat a vizsgált erőforrásról, és még egyfajta lenyomatot is hozzon létre, amely lehetővé teszi a személyes adatok ellopásának teljes rendszerének feltárását, az átvételtől a valószínű értékesítési helyig.
7. ábra A vizsgált rendszer térképe
Nem minden olyan rózsás, mint szeretnénk. Például az ilyen vizsgálatok könnyen megszakadhatnak a CloudFlare-en vagy hasonló szolgáltatásokon. Az összegyűjtött adatbázis hatékonysága pedig nagyban függ a passzív DNS-adatok gyűjtésére szolgáló modulon áthaladó DNS-kérések számától. Ennek ellenére a passzív DNS további információforrás a kutató számára.
Szerző: Az Ural Biztonsági Rendszerek Központjának szakértője
Forrás: will.com