Domain Name System (DNS) er eins og símaskrá sem þýðir notendavæn nöfn eins og "ussc.ru" yfir á IP tölur. Þar sem DNS-virkni er til staðar í næstum öllum samskiptalotum, óháð samskiptareglum. Þannig er DNS-skráning dýrmæt uppspretta gagna fyrir upplýsingaöryggissérfræðinginn, sem gerir þeim kleift að greina frávik eða fá viðbótargögn um kerfið sem er til rannsóknar.
Árið 2004 lagði Florian Weimer til skráningaraðferð sem kallast Passive DNS, sem gerir þér kleift að endurheimta sögu DNS gagnabreytinga með getu til að skrá og leita, sem getur veitt aðgang að eftirfarandi gögnum:
- Lén
- IP-tala umbeðna lénsins
- Dagsetning og tími svars
- Tegund svars
- o.fl.
Gögn fyrir óvirkt DNS er safnað frá endurkvæmum DNS netþjónum með innbyggðum einingum eða með því að stöðva svör frá DNS netþjónum sem bera ábyrgð á svæðinu.
Mynd 1. Óvirkt DNS (tekið af síðunni
Sérkenni óvirks DNS er að það er engin þörf á að skrá IP tölu viðskiptavinarins, sem hjálpar til við að vernda friðhelgi notenda.
Í augnablikinu eru margar þjónustur sem veita aðgang að óvirkum DNS gögnum:
Félagið
Farsight Security
VirusTotal
Riskiq
SafeDNS
öryggisslóðir
Cisco
Aðgangur
Eftir pöntun
Þarf ekki skráningu
Skráning er ókeypis
Eftir pöntun
Þarf ekki skráningu
Eftir pöntun
API
Viðstaddur
Viðstaddur
Viðstaddur
Viðstaddur
Viðstaddur
Viðstaddur
Viðvera viðskiptavina
Viðstaddur
Viðstaddur
Viðstaddur
Ekkert
Ekkert
Ekkert
Upphaf gagnasöfnunar
2010 ári
2013 ári
2009 ári
Sýnir aðeins síðustu 3 mánuði
2008 ári
2006 ári
Tafla 1. Þjónusta með aðgang að óvirkum DNS gögnum
Notaðu tilvik fyrir óvirkt DNS
Með því að nota Passive DNS geturðu byggt upp tengsl milli lénsheita, NS netþjóna og IP tölur. Þetta gerir þér kleift að búa til kort af kerfunum sem verið er að rannsaka og fylgjast með breytingum á slíku korti frá fyrstu uppgötvun til líðandi stundar.
Óvirkt DNS gerir það einnig auðveldara að greina frávik í umferðinni. Til dæmis, að fylgjast með breytingum á NS svæðum og skrám af gerð A og AAAA gerir þér kleift að bera kennsl á skaðlegar síður með því að nota hraðflæðisaðferðina, hönnuð til að fela C&C frá uppgötvun og lokun. Vegna þess að lögmæt lén (að undanskildum þeim sem notuð eru til að jafna álag) munu ekki breyta IP tölum sínum oft og flest lögmæt svæði breyta sjaldan NS netþjónum sínum.
Óvirkt DNS, öfugt við beina upptalningu á undirlénum með því að nota orðabækur, gerir þér kleift að finna jafnvel framandi lén, til dæmis, "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Það gerir þér líka stundum kleift að finna prófunar- (og viðkvæm) svæði vefsíðunnar, þróunarefni osfrv.
Skoða tengil úr tölvupósti með Passive DNS
Í augnablikinu er ruslpóstur ein helsta leiðin til að árásarmaður kemst inn í tölvu fórnarlambsins eða stelur trúnaðarupplýsingum. Við skulum reyna að skoða hlekkinn úr slíkum tölvupósti með því að nota Passive DNS til að meta árangur þessarar aðferðar.
Mynd 2. Ruslpóstur
Tengillinn úr þessu bréfi leiddi til síðunnar magnit-boss.rocks, sem bauðst til að safna sjálfkrafa bónusum og fá peninga:
Mynd 3. Síða hýst á magnit-boss.rocks léninu
Fyrir rannsókn á þessari síðu var notað
Fyrst af öllu munum við komast að allri sögu þessa léns, til þess munum við nota skipunina:
pt-client pdns --query magnit-boss.rocks
Þessi skipun mun skila upplýsingum um allar DNS-upplausnir sem tengjast þessu lén.
Mynd 4. Svar frá Riskiq API
Við skulum færa svarið frá API á sjónrænara form:
Mynd 5. Allar færslur úr svarinu
Til frekari rannsókna tókum við IP-tölurnar sem þetta lén hafði leyst í þegar bréfið barst þann 01.08.2019/92.119.113.112/85.143.219.65, slík IP-tölur eru eftirfarandi vistföng XNUMX og XNUMX.
Með því að nota skipunina:
pt-viðskiptavinur pdns --fyrirspurn
þú getur fengið öll lén sem tengjast tilteknum IP tölum.
IP vistfangið 92.119.113.112 hefur 42 einstök lén sem hafa leyst til þessa IP tölu, þar á meðal eru eftirfarandi nöfn:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- og aðrir
IP-talan 85.143.219.65 hefur 44 einstök lén sem hafa leyst til þessa IP-tölu, þar á meðal eru eftirfarandi nöfn:
- cvv2.name (vefsíða til að selja kreditkortagögn)
- emaills.world
- www.mailru.space
- og aðrir
Tengingar við þessi lén leiða til vefveiða, en við trúum á gott fólk, svo við skulum reyna að fá bónus upp á 332 rúblur? Eftir að hafa smellt á „JÁ“ hnappinn biður síðan okkur um að flytja 501.72 rúblur af kortinu til að opna reikninginn og sendir okkur á síðuna as-torpay.info til að slá inn gögn.
Mynd 6. Aðalsíða síðunnar ac-pay2day.net
Það lítur út eins og lögleg síða, það er https vottorð og aðalsíðan býður upp á að tengja þetta greiðslukerfi við síðuna þína, en því miður, allir tenglar til að tengjast virka ekki. Þetta lén leysir aðeins 1 ip tölu - 190.115.19.74. Það hefur aftur á móti 1475 einstök lén sem leysast að þessu IP-tölu, þar á meðal nöfn eins og:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- og aðrir
Eins og við sjáum gerir Passive DNS þér kleift að safna gögnum um auðlindina sem verið er að rannsaka á fljótlegan og skilvirkan hátt og jafnvel búa til eins konar áletrun sem gerir þér kleift að afhjúpa allt kerfið til að stela persónulegum gögnum, frá móttöku þeirra til líklegs sölustaðar.
Mynd 7. Kort af kerfinu sem verið er að rannsaka
Ekki er allt eins bjart og við viljum. Til dæmis geta slíkar rannsóknir auðveldlega brotnað á CloudFlare eða svipaðri þjónustu. Og skilvirkni safnaða gagnagrunnsins er mjög háð fjölda DNS beiðna sem fara í gegnum eininguna til að safna óvirkum DNS gögnum. Engu að síður er Passive DNS uppspretta viðbótarupplýsinga fyrir rannsakandann.
Höfundur: Sérfræðingur Ural Center for Security Systems
Heimild: www.habr.com