Sistemụ Aha ngalaba (DNS) dị ka akwụkwọ ekwentị na-atụgharị aha enyi na enyi dịka "ussc.ru" n'ime adreesị IP. Ebe ọ bụ na ọrụ DNS dị na ihe fọrọ nke nta ka ọ bụrụ nnọkọ nkwurịta okwu niile, n'agbanyeghị usoro ahụ. Ya mere, idebanye aha DNS bụ isi iyi data bara uru maka ndị ọkachamara nchekwa ozi, na-enye ha ohere ịchọpụta anomalies ma ọ bụ nwetakwuo data gbasara sistemụ a na-amụ.
N'afọ 2004, Florian Weimer tụpụtara usoro ndekọ aha a na-akpọ Passive DNS, nke na-enye gị ohere iweghachi akụkọ ihe mere eme nke mgbanwe data DNS site n'ikike ịdepụta na ịchọ, nke nwere ike inye ohere ịnweta data ndị a:
- Aha ngalaba
- Adreesị IP nke ngalaba aha achọrọ
- Ụbọchị na oge nzaghachi
- Ụdị nzaghachi
- na ihe ndị ọzọ.
A na-anakọta data maka DNS na-agafe agafe site na sava DNS na-emegharị ugboro ugboro site na modul arụnyere arụnyere ma ọ bụ site na igbochi nzaghachi sitere na sava DNS maka mpaghara ahụ.
Ọgụgụ 1. DNS na-agafe agafe (nke e si na saịtị ahụ
Akụkụ nke Passive DNS bụ na ọ dịghị mkpa ịdebanye aha adreesị IP nke onye ahịa, nke na-enyere aka ichekwa nzuzo onye ọrụ.
N'oge a, enwere ọtụtụ ọrụ na-enye ohere ịnweta data DNS Passive:
Ike
Nchekwa Farsight
VirusTotal
Riskiq
SafeDNS
Ụzọ nche
Cisco
Nnweta
Na arịrịọ
Achọghị ndebanye aha
Ndebanye aha bụ n'efu
Na arịrịọ
Achọghị ndebanye aha
Na arịrịọ
API
Ugbu a
Ugbu a
Ugbu a
Ugbu a
Ugbu a
Ugbu a
Nnweta nke onye ahịa
Ugbu a
Ugbu a
Ugbu a
Ọ dịghị
Ọ dịghị
Ọ dịghị
Mmalite nke nchịkọta data
Afọ 2010
Afọ 2013
Afọ 2009
Na-egosiputa naanị ọnwa 3 gara aga
Afọ 2008
Afọ 2006
Isiokwu 1. Ọrụ na ịnweta Passive DNS data
Jiri Okwu maka DNS na-agafe agafe
Iji DNS Passive ị nwere ike wulite njikọ n'etiti aha ngalaba, sava NS na adreesị IP. Nke a na-enye gị ohere ịmepụta maapụ sistemụ ndị a na-amụ ma soro mgbanwe dị na maapụ dị otú ahụ site na nchọpụta mbụ ruo ugbu a.
DNS na-agafe agafe na-emekwa ka ọ dị mfe ịchọpụta nsogbu okporo ụzọ. Dịka ọmụmaatụ, mgbanwe mgbanwe na mpaghara NS na ndekọ nke ụdị A na AAAA na-enye gị ohere ịchọpụta saịtị ọjọọ na-eji usoro ọsọ ọsọ ọsọ, nke e mere iji zoo C&C site na nchọpụta na igbochi. N'ihi na aha ngalaba ziri ezi (ma e wezụga ndị ejiri maka ịkwado ibu) agaghị agbanwe adreesị IP ha mgbe niile, yana ọtụtụ mpaghara ziri ezi anaghị agbanwe sava NS ha.
DNS na-agafe agafe, n'adịghị ka ọchụchọ kpọmkwem nke subdomains na-eji akwụkwọ ọkọwa okwu, na-enye gị ohere ịchọta ọbụna aha ngalaba kachasị dị egwu, dịka ọmụmaatụ "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Ọ na-enye gị ohere mgbe ụfọdụ ịchọta ule (na adịghị ike) mpaghara weebụsaịtị, ihe mmepụta ihe, wdg.
Nyochaa njikọ sitere na email site na iji Passive DNS
Ugbu a, spam bụ otu n'ime ụzọ bụ isi onye na-awakpo si abanye na kọmputa onye ihe metụtara ma ọ bụ zuru ozi nzuzo. Ka anyị gbalịa nyochaa njikọ sitere na leta dị otú ahụ site na iji Passive DNS iji nyochaa ịdị irè nke usoro a.
Ọgụgụ 2. Email spam
Njikọ sitere na leta a dugara na saịtị magnit-boss.rocks, nke nyere ohere ịnakọta ego na-akpaghị aka wee nweta ego:
Ọgụgụ 3. Ibe akwadoro na ngalaba magnit-boss.rocks
Iji mụọ saịtị a, ejiri m
Nke mbụ, anyị ga-achọpụta akụkọ ihe mere eme nke aha ngalaba a, maka nke a, anyị ga-eji iwu a:
pdn pt-client — ajụjụ magnet-boss.rocks
Iwu a ga-egosipụta ozi gbasara mkpebi DNS niile metụtara aha ngalaba a.
Ọgụgụ 4. Nzaghachi sitere na Riskiq API
Ka anyị tinye nzaghachi sitere na API n'ụdị a na-ahụ anya karị:
Ọgụgụ 5. Ndenye niile sitere na nzaghachi
Maka nyocha ọzọ, anyị were adreesị IP nke ngalaba aha a kpebiri n'oge natara akwụkwọ ozi na 01.08.2019/92.119.113.112/85.143.219.65, adreesị IP ndị dị otú ahụ bụ adreesị XNUMX na XNUMX.
Iji iwu a:
pt-client pdns --ajụjụ
ị nwere ike nweta aha ngalaba niile metụtara adreesị IP ndị a.
Adreesị IP 92.119.113.112 nwere aha ngalaba 42 pụrụ iche dabara na adreesị IP a, n'ime ha bụ aha ndị a:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- na wdg
Adreesị IP 85.143.219.65 nwere aha ngalaba 44 pụrụ iche kpebiri na adreesị IP a, n'ime ha bụ aha ndị a:
- cvv2.name (saịtị maka ire data kaadị kredit)
- emails.ụwa
- www.mailru.space
- na wdg
Njikọ na aha ngalaba ndị a na-atụ aro phishing, ma anyị kwenyere na ndị ezigbo mmadụ, ya mere, ka anyị gbalịa ịnweta ego nke 332 rubles? Mgbe ịpịrị bọtịnụ "EE", saịtị ahụ na-arịọ anyị ka anyị nyefee 501.72 rubles site na kaadị iji kpọghee akaụntụ ahụ ma ziga anyị na saịtị as-torpay.info iji tinye data.
Ọgụgụ 6. Ibe mbụ nke saịtị ac-pay2day.net
Ọ dị ka saịtị iwu, enwere akwụkwọ https, na isi peeji na-enye iji jikọọ usoro ịkwụ ụgwọ a na saịtị gị, mana, Ewoo, njikọ niile iji jikọọ anaghị arụ ọrụ. Aha ngalaba a na-ekpebi naanị adreesị IP 1 - 190.115.19.74. Ya, n'aka nke ya, nwere aha ngalaba 1475 pụrụ iche na-edozi adreesị IP a, gụnyere aha ndị dị ka:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- na wdg
Dịka anyị nwere ike ịhụ, DNS na-agafe agafe na-enye gị ohere ịnakọta data gbasara akụrụngwa a na-amụ ngwa ngwa na ịrụ ọrụ nke ọma na ọbụna wuo ụdị mkpịsị aka nke na-enye gị ohere ikpughe atụmatụ zuru ezu maka izu ohi data nkeonwe, site na nnata ya ruo ebe enwere ike ire ere.
Ọgụgụ 7. Map nke usoro a na-amụ
Ọ bụghị ihe niile bụ rosy ka anyị ga-achọ. Dịka ọmụmaatụ, nyocha dị otú ahụ nwere ike ịda ngwa ngwa na CloudFlare ma ọ bụ ọrụ ndị yiri ya. Na ịdị irè nke nchekwa data anakọtara dabere na ọnụ ọgụgụ nke arịrịọ DNS na-agafe na modul maka ịnakọta data DNS Passive. Mana ka o sina dị, Passive DNS bụ isi iyi nke ozi ndị ọzọ maka onye nyocha.
Onye edemede: Ọkachamara nke Ural Center for Security Systems
isi: www.habr.com