Դոմենների անունների համակարգը (DNS) նման է հեռախոսի գրքի, որը օգտատերերի համար հարմար անունները, ինչպիսին «ussc.ru»-ն է, թարգմանում է IP հասցեների: Քանի որ DNS-ի ակտիվությունն առկա է հաղորդակցության գրեթե բոլոր նիստերում՝ անկախ արձանագրությունից։ Այսպիսով, DNS logging-ը տվյալների արժեքավոր աղբյուր է տեղեկատվական անվտանգության մասնագետների համար՝ թույլ տալով նրանց հայտնաբերել անոմալիաներ կամ ստանալ լրացուցիչ տվյալներ ուսումնասիրվող համակարգի մասին:
2004 թվականին Ֆլորիան Վայմերն առաջարկեց գրանցման մեթոդ, որը կոչվում է Պասիվ DNS, որը թույլ է տալիս վերականգնել DNS տվյալների փոփոխությունների պատմությունը՝ ինդեքսավորելու և որոնելու ունակությամբ, ինչը կարող է մուտք գործել հետևյալ տվյալները.
- Տիրույթի անունը
- Պահանջվող տիրույթի անվան IP հասցեն
- Պատասխանի ամսաթիվը և ժամը
- Արձագանքման տեսակը
- եւ այլն:
Պասիվ DNS-ի համար տվյալները հավաքագրվում են ռեկուրսիվ DNS սերվերներից՝ ներկառուցված մոդուլների միջոցով կամ գոտու համար պատասխանատու DNS սերվերների պատասխանները ընդհատելու միջոցով:
Նկար 1. Պասիվ DNS (վերցված է կայքից )
Պասիվ DNS-ի առանձնահատկությունն այն է, որ կարիք չկա գրանցել հաճախորդի IP հասցեն, որն օգնում է պաշտպանել օգտվողի գաղտնիությունը:
Այս պահին կան բազմաթիվ ծառայություններ, որոնք ապահովում են Պասիվ DNS տվյալների հասանելիություն.
ընկերություն
Farsight Security
VirusTotal
Ռիսկիք
Safedns
Անվտանգության արահետներ
Cisco
Մուտք
Ըստ հարցման
Չի պահանջում գրանցում
Գրանցումն անվճար է
Ըստ հարցման
Չի պահանջում գրանցում
Ըստ հարցման
API
Ներկա
Ներկա
Ներկա
Ներկա
Ներկա
Ներկա
Հաճախորդի առկայություն
Ներկա
Ներկա
Ներկա
Ոչ մեկը
Ոչ մեկը
Ոչ մեկը
Տվյալների հավաքագրման սկիզբ
2010 տարի
2013 տարի
2009 տարի
Ցուցադրում է միայն վերջին 3 ամիսը
2008 տարի
2006 տարի
Աղյուսակ 1. Պասիվ DNS տվյալների հասանելիությամբ ծառայություններ
Օգտագործեք դեպքեր պասիվ DNS-ի համար
Պասիվ DNS-ի միջոցով դուք կարող եք կապեր ստեղծել տիրույթի անունների, NS սերվերների և IP հասցեների միջև: Սա թույլ է տալիս կառուցել ուսումնասիրվող համակարգերի քարտեզներ և հետևել նման քարտեզի փոփոխություններին առաջին հայտնաբերումից մինչև ներկա պահը:
Պասիվ DNS-ը նաև հեշտացնում է երթևեկության անոմալիաների հայտնաբերումը: Օրինակ, NS գոտիներում փոփոխություններին հետևելը և A և AAAA տիպի գրառումները թույլ են տալիս բացահայտել վնասակար կայքերը, որոնք օգտագործում են արագ հոսքի մեթոդը, որը նախատեսված է C&C-ն թաքցնելու հայտնաբերումից և արգելափակումից: Քանի որ օրինական տիրույթի անունները (բացառությամբ բեռների հավասարակշռման համար օգտագործվողների) հաճախ չեն փոխի իրենց IP հասցեները, և օրինական գոտիների մեծ մասը հազվադեպ է փոխում իրենց NS սերվերները:
Պասիվ DNS-ը, ի տարբերություն բառարանների միջոցով ենթադոմեյնների ուղղակի որոնման, թույլ է տալիս գտնել նույնիսկ ամենաէկզոտիկ տիրույթի անունները, օրինակ՝ «222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru»: Այն նաև երբեմն թույլ է տալիս գտնել կայքի փորձարկման (և խոցելի) տարածքներ, մշակողների նյութեր և այլն:
Պասիվ DNS-ի միջոցով էլփոստից հղումի ուսումնասիրություն
Ներկայումս սպամը հիմնական միջոցներից մեկն է, որի միջոցով հարձակվողը ներթափանցում է զոհի համակարգիչ կամ գողանում գաղտնի տեղեկատվություն: Փորձենք ուսումնասիրել նման նամակի հղումը՝ օգտագործելով Passive DNS՝ այս մեթոդի արդյունավետությունը գնահատելու համար։
Նկար 2. Սպամ էլ
Այս նամակի հղումը հանգեցրեց դեպի magnit-boss.rocks կայքը, որն առաջարկում էր ավտոմատ կերպով հավաքել բոնուսներ և գումար ստանալ.
Նկար 3. Էջը տեղակայված է magnit-boss.rocks տիրույթում
Այս կայքը ուսումնասիրելու համար ես օգտագործել եմ , որն արդեն ունի 3 պատրաստի հաճախորդ , и .
Առաջին հերթին մենք կիմանանք այս տիրույթի անվան ամբողջ պատմությունը, դրա համար մենք կօգտագործենք հրամանը.
pt-client pdns — հարցում magnet-boss.rocks
Այս հրամանը կցուցադրի տեղեկատվություն այս տիրույթի անվան հետ կապված բոլոր DNS լուծումների մասին:
Նկար 4. Արձագանք Riskiq API-ից
Եկեք API-ի պատասխանը դնենք ավելի տեսողական ձևի.
Նկար 5. Պատասխանից ստացված բոլոր գրառումները
Հետագա հետազոտության համար մենք վերցրել ենք IP հասցեները, որոնց լուծվել է այս տիրույթի անունը նամակի ստացման պահին՝ 01.08.2019/92.119.113.112/85.143.219.65-ին, այդպիսի IP հասցեներն են հետևյալ XNUMX և XNUMX հասցեները:
Օգտագործելով հրամանը.
pt-client pdns -- հարցում
Դուք կարող եք ստանալ բոլոր դոմենային անունները, որոնք կապված են այս IP հասցեների հետ:
92.119.113.112 IP հասցեն ունի 42 եզակի տիրույթի անուններ, որոնք որոշվում են այս IP հասցեով, որոնց թվում են հետևյալ անունները.
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- եւ այլն
85.143.219.65 IP հասցեն ունի 44 եզակի տիրույթի անուններ, որոնք վերաբերվում են այս IP հասցեին, որոնց թվում են հետևյալ անունները.
- cvv2.name (վարկային քարտի տվյալների վաճառքի կայք)
- emaills.world
- www.mailru.space
- եւ այլն
Այս տիրույթի անունների հետ կապերը հուշում են ֆիշինգի մասին, բայց մենք հավատում ենք լավ մարդկանց, ուստի եկեք փորձենք ստանալ 332 ռուբլի բոնուս: «ԱՅՈ» կոճակը սեղմելուց հետո կայքը խնդրում է մեզ քարտից փոխանցել 501.72 ռուբլի՝ հաշիվն ապակողպելու համար և ուղարկում է մեզ as-torpay.info կայք՝ տվյալներ մուտքագրելու համար:
Նկար 6. ac-pay2day.net կայքի գլխավոր էջ
Կարծես օրինական կայք լինի, կա https վկայական, և գլխավոր էջն առաջարկում է միացնել այս վճարային համակարգը ձեր կայքին, բայց, ավաղ, միանալու բոլոր հղումները չեն աշխատում։ Այս տիրույթի անունը որոշվում է միայն 1 IP հասցեով՝ 190.115.19.74: Այն, իր հերթին, ունի 1475 եզակի տիրույթի անուններ, որոնք լուծում են այս IP հասցեին, ներառյալ այնպիսի անուններ, ինչպիսիք են.
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- եւ այլն
Ինչպես տեսնում ենք, Passive DNS-ը թույլ է տալիս արագ և արդյունավետ կերպով հավաքել տվյալներ ուսումնասիրվող ռեսուրսի մասին և նույնիսկ ստեղծել մի տեսակ մատնահետք, որը թույլ է տալիս բացահայտել անձնական տվյալների գողության մի ամբողջ սխեման՝ սկսած դրա ստացումից մինչև վաճառքի հավանական վայրը:
Նկար 7. Ուսումնասիրվող համակարգի քարտեզ
Ամեն ինչ այնքան վարդագույն չէ, որքան մենք կցանկանայինք: Օրինակ, նման հետաքննությունները հեշտությամբ կարող են ձախողվել CloudFlare-ում կամ նմանատիպ ծառայություններում: Իսկ հավաքագրված տվյալների բազայի արդյունավետությունը մեծապես կախված է Պասիվ DNS տվյալների հավաքագրման մոդուլով անցնող DNS հարցումների քանակից։ Բայց, այնուամենայնիվ, Պասիվ DNS-ը հետազոտողի համար լրացուցիչ տեղեկատվության աղբյուր է։
Հեղինակ՝ Ուրալի անվտանգության համակարգերի կենտրոնի մասնագետ
Source: www.habr.com