Il Domain Name System (DNS) è come una rubrica telefonica che traduce nomi user-friendly come "ussc.ru" in indirizzi IP. Poiché l'attività DNS è presente in quasi tutte le sessioni di comunicazione, indipendentemente dal protocollo. Pertanto, il logging DNS rappresenta una preziosa fonte di dati per gli specialisti della sicurezza informatica, poiché consente loro di rilevare anomalie o ottenere dati aggiuntivi sul sistema in esame.
Nel 2004, Florian Weimer ha proposto un metodo di registrazione chiamato DNS passivo, che consente di ripristinare la cronologia delle modifiche ai dati DNS con la possibilità di indicizzare e cercare, che può fornire accesso ai seguenti dati:
- Nome del dominio
- Indirizzo IP del nome a dominio richiesto
- Data e ora della risposta
- Tipo di risposta
- eccetera
I dati per il DNS passivo vengono raccolti dai server DNS ricorsivi mediante moduli integrati o intercettando le risposte dei server DNS responsabili della zona.
Figura 1. DNS passivo (tratto dal sito )
Una caratteristica del DNS passivo è che non è necessario registrare l'indirizzo IP del client, il che aiuta a proteggere la privacy dell'utente.
Al momento, ci sono molti servizi che forniscono l'accesso ai dati DNS passivi:
società
Sicurezza lungimirante
VirusTotal
Rischioso
SafeDNS
SicurezzaTrails
Cisco
accesso
Su richiesta
Non richiede registrazione
La registrazione è gratuita
Su richiesta
Non richiede registrazione
Su richiesta
API
presente
presente
presente
presente
presente
presente
Disponibilità di un cliente
presente
presente
presente
Nessuno
Nessuno
Nessuno
Inizio della raccolta dati
anno 2010
anno 2013
anno 2009
Visualizza solo gli ultimi 3 mesi
anno 2008
anno 2006
Tabella 1. Servizi con accesso ai dati DNS passivi
Casi d'uso per DNS passivo
Utilizzando il DNS passivo puoi creare connessioni tra nomi di dominio, server NS e indirizzi IP. Ciò consente di costruire mappe dei sistemi oggetto di studio e tenere traccia dei cambiamenti in tale mappa dalla prima scoperta al momento attuale.
Il DNS passivo facilita inoltre il rilevamento delle anomalie del traffico. Ad esempio, il monitoraggio delle modifiche nelle zone NS e nei record di tipo A e AAAA consente di identificare i siti dannosi che utilizzano il metodo fast flux, progettato per nascondere C&C dal rilevamento e dal blocco. Perché i nomi di dominio legittimi (ad eccezione di quelli utilizzati per il bilanciamento del carico) non cambieranno spesso i loro indirizzi IP e la maggior parte delle zone legittime raramente cambia i propri server NS.
Il DNS passivo, a differenza della ricerca diretta dei sottodomini tramite dizionari, consente di trovare anche i nomi di dominio più esotici, ad esempio "222qmxacaiqaaaaazibq4aaidhmbqaaa0unfined7140c0.p.hoff.ru". A volte consente anche di trovare aree di test (e vulnerabili) del sito Web, materiali per sviluppatori, ecc.
Ricerca di un collegamento da un'e-mail utilizzando DNS passivo
Attualmente, lo spam è uno dei modi principali attraverso cui un utente malintenzionato penetra nel computer della vittima o ruba informazioni riservate. Proviamo a esaminare il collegamento da tale lettera utilizzando il DNS passivo per valutare l'efficacia di questo metodo.
Figura 2. E-mail di spam
Il collegamento contenuto in questa lettera portava al sito magnit-boss.rocks, che offriva di raccogliere automaticamente bonus e ricevere denaro:
Figura 3. Pagina ospitata sul dominio magnit-boss.rocks
Per studiare questo sito, ho usato , che ha già 3 client già pronti , и .
Prima di tutto scopriremo l'intera storia di questo nome di dominio, per questo utilizzeremo il comando:
pt-client pdns: interroga magnet-boss.rocks
Questo comando visualizzerà informazioni su tutte le risoluzioni DNS associate a questo nome di dominio.
Figura 4. Risposta dall'API Riskiq
Mettiamo la risposta dell'API in una forma più visiva:
Figura 5. Tutte le voci della risposta
Per ulteriori ricerche, abbiamo preso gli indirizzi IP a cui questo nome di dominio si risolveva al momento della ricezione della lettera il 01.08.2019/92.119.113.112/85.143.219.65, tali indirizzi IP sono i seguenti indirizzi XNUMX e XNUMX.
Usando il comando:
pt-client pdns --query
puoi ottenere tutti i nomi di dominio associati a questi indirizzi IP.
L'indirizzo IP 92.119.113.112 ha 42 nomi di dominio univoci che si risolvono in questo indirizzo IP, tra cui i seguenti nomi:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- et al
L'indirizzo IP 85.143.219.65 ha 44 nomi di dominio univoci che si risolvono in questo indirizzo IP, tra cui i seguenti nomi:
- cvv2.name (sito per la vendita dei dati delle carte di credito)
- emaills.world
- www.mailru.space
- et al
Le connessioni con questi nomi di dominio suggeriscono il phishing, ma noi crediamo nelle brave persone, quindi proviamo a ottenere un bonus di 332 rubli? Dopo aver cliccato sul pulsante “SÌ”, il sito ci chiede di trasferire 501.72 rubli dalla carta per sbloccare l'account e ci invia al sito as-torpay.info per inserire i dati.
Figura 6. Home page del sito ac-pay2day.net
Sembra un sito legale, c'è un certificato https e la pagina principale offre di collegare questo sistema di pagamento al tuo sito, ma, ahimè, tutti i collegamenti per connettersi non funzionano. Questo nome di dominio si risolve in un solo indirizzo IP: 1. A sua volta, ha 190.115.19.74 nomi di dominio univoci che si risolvono in questo indirizzo IP, inclusi nomi come:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- et al
Come possiamo vedere, il DNS passivo consente di raccogliere dati in modo rapido ed efficiente sulla risorsa studiata e persino di creare una sorta di impronta digitale che consente di scoprire un intero schema per il furto di dati personali, dalla ricezione al probabile luogo di vendita.
Figura 7. Mappa del sistema oggetto di studio
Non tutto è così roseo come vorremmo. Ad esempio, tali indagini possono facilmente fallire su CloudFlare o servizi simili. E l'efficacia del database raccolto dipende in gran parte dal numero di richieste DNS che passano attraverso il modulo per la raccolta dei dati DNS passivi. Tuttavia, il DNS passivo è una fonte di informazioni aggiuntive per il ricercatore.
Autore: specialista del Centro Ural per i sistemi di sicurezza
Fonte: habr.com