Sistem Nama Domain (DNS) seperti buku telepon yang menerjemahkan nama yang mudah digunakan seperti "ussc.ru" menjadi alamat IP. Karena aktivitas DNS hadir di hampir semua sesi komunikasi, apa pun protokolnya. Dengan demikian, pencatatan DNS adalah sumber data yang berharga bagi spesialis keamanan informasi, memungkinkan mereka mendeteksi anomali atau memperoleh data tambahan tentang sistem yang sedang dipelajari.
Pada tahun 2004, Florian Weimer mengusulkan metode logging yang disebut DNS Pasif, yang memungkinkan Anda memulihkan riwayat perubahan data DNS dengan kemampuan mengindeks dan mencari, yang dapat memberikan akses ke data berikut:
- Nama domain
- Alamat IP dari nama domain yang diminta
- Tanggal dan waktu tanggapan
- Jenis respons
- dan lain-lain
Data untuk DNS Pasif dikumpulkan dari server DNS rekursif dengan modul bawaan atau dengan mencegat respons dari server DNS yang bertanggung jawab atas zona tersebut.
Gambar 1. DNS Pasif (diambil dari situs
Fitur DNS Pasif adalah tidak perlu mendaftarkan alamat IP klien, sehingga membantu melindungi privasi pengguna.
Saat ini ada banyak layanan yang menyediakan akses ke data DNS Pasif:
perusahaan
Keamanan Pandangan Jauh
VirusTotal
Riskiq
DNS Aman
Jalur Keamanan
Cisco
Mengakses
Atas permintaan
Tidak memerlukan registrasi
Pendaftaran gratis
Atas permintaan
Tidak memerlukan registrasi
Atas permintaan
API
Hadiah
Hadiah
Hadiah
Hadiah
Hadiah
Hadiah
Ketersediaan klien
Hadiah
Hadiah
Hadiah
Tak satupun
Tak satupun
Tak satupun
Mulai dari pengumpulan data
2010 tahun
2013 tahun
2009 tahun
Hanya menampilkan 3 bulan terakhir
2008 tahun
2006 tahun
Tabel 1. Layanan dengan akses ke data DNS Pasif
Kasus Penggunaan untuk DNS Pasif
Menggunakan DNS Pasif Anda dapat membangun koneksi antara nama domain, server NS, dan alamat IP. Hal ini memungkinkan Anda membuat peta sistem yang sedang dipelajari dan melacak perubahan pada peta tersebut dari penemuan pertama hingga saat ini.
DNS pasif juga memudahkan pendeteksian anomali lalu lintas. Misalnya, melacak perubahan di zona NS dan catatan tipe A dan AAAA memungkinkan Anda mengidentifikasi situs berbahaya yang menggunakan metode fluks cepat, yang dirancang untuk menyembunyikan C&C dari deteksi dan pemblokiran. Karena nama domain yang sah (kecuali yang digunakan untuk penyeimbangan beban) tidak akan sering mengubah alamat IP-nya, dan sebagian besar zona sah jarang mengubah server NS-nya.
DNS pasif, berbeda dengan pencarian langsung subdomain menggunakan kamus, memungkinkan Anda menemukan nama domain paling eksotis sekalipun, misalnya β222qmxacaiqaaaaazibq4aaidhmbqaaa0undefinisi7140c0.p.hoff.ruβ. Terkadang juga memungkinkan Anda menemukan area pengujian (dan rentan) di situs web, materi pengembang, dll.
Meneliti tautan dari email menggunakan DNS Pasif
Saat ini, spam adalah salah satu cara utama penyerang menembus komputer korban atau mencuri informasi rahasia. Mari kita coba memeriksa link dari surat tersebut menggunakan DNS Pasif untuk mengevaluasi efektivitas metode ini.
Gambar 2. Email spam
Tautan dari surat ini mengarah ke situs magnit-boss.rocks, yang menawarkan untuk mengumpulkan bonus dan menerima uang secara otomatis:
Gambar 3. Halaman yang dihosting di domain magnit-boss.rocks
Untuk mempelajari situs ini, saya menggunakan
Pertama-tama, kita akan mengetahui seluruh sejarah nama domain ini, untuk ini kita akan menggunakan perintah:
pt-klien pdns βkueri magnet-boss.rocks
Perintah ini akan menampilkan informasi tentang semua penyelesaian DNS yang terkait dengan nama domain ini.
Gambar 4. Respon dari Riskiq API
Mari kita ubah respons dari API ke dalam bentuk yang lebih visual:
Gambar 5. Semua entri dari respon
Untuk penelitian selanjutnya kami mengambil alamat IP yang menjadi tujuan penyelesaian nama domain ini pada saat surat diterima pada 01.08.2019/92.119.113.112/85.143.219.65, alamat IP tersebut adalah alamat berikut XNUMX dan XNUMX.
Menggunakan perintah:
pt-klien pdns --query
Anda bisa mendapatkan semua nama domain yang terkait dengan alamat IP ini.
Alamat IP 92.119.113.112 memiliki 42 nama domain unik yang ditetapkan ke alamat IP ini, di antaranya adalah nama-nama berikut:
- magnet-bos.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- dan lainnya
Alamat IP 85.143.219.65 memiliki 44 nama domain unik yang ditetapkan ke alamat IP ini, di antaranya adalah nama-nama berikut:
- cvv2.name (situs penjualan data kartu kredit)
- emaills.dunia
- www.mailru.space
- dan lainnya
Koneksi dengan nama domain ini menunjukkan phishing, tapi kami percaya pada orang baik, jadi mari kita coba mendapatkan bonus 332 rubel? Setelah mengklik tombol βYAβ, situs tersebut meminta kami untuk mentransfer 501.72 rubel dari kartu untuk membuka kunci akun dan mengirim kami ke situs as-torpay.info untuk memasukkan data.
Gambar 6. Halaman beranda situs ac-pay2day.net
Sepertinya situs legal, ada sertifikat https, dan halaman utama menawarkan untuk menghubungkan sistem pembayaran ini ke situs Anda, tetapi, sayangnya, semua tautan untuk terhubung tidak berfungsi. Nama domain ini hanya memiliki 1 alamat IP - 190.115.19.74. Pada gilirannya, ia memiliki 1475 nama domain unik yang ditetapkan ke alamat IP ini, termasuk nama-nama seperti:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- dan lainnya
Seperti yang bisa kita lihat, DNS Pasif memungkinkan Anda mengumpulkan data dengan cepat dan efisien tentang sumber daya yang diteliti dan bahkan membuat semacam sidik jari yang memungkinkan Anda mengungkap keseluruhan skema pencurian data pribadi, mulai dari penerimaannya hingga kemungkinan tempat penjualan.
Gambar 7. Peta sistem yang diteliti
Tidak semuanya seindah yang kita inginkan. Misalnya, investigasi semacam itu dapat dengan mudah gagal pada CloudFlare atau layanan serupa. Dan efektivitas database yang dikumpulkan sangat bergantung pada jumlah permintaan DNS yang melewati modul pengumpulan data DNS Pasif. Namun demikian, DNS Pasif menjadi sumber informasi tambahan bagi peneliti.
Penulis: Spesialis Pusat Sistem Keamanan Ural
Sumber: www.habr.com