Passive DNS nelle mani dell'analista

Il sistema dei nomi di dominio (DNS) è simile a una rubrica telefonica, che traduce nomi user-friendly come "ussc.ru" in indirizzi IP. Poiché l'attività DNS è presente praticamente in tutte le sessioni di comunicazione, indipendentemente dal protocollo. Pertanto, il logging DNS è una fonte di dati preziosa per il professionista della sicurezza informatica, consentendo di rilevare anomalie o ottenere ulteriori informazioni sul sistema esaminato.

Nel 2004, Florian Weimer propose un metodo di logging chiamato Passive DNS, che consente di ricostruire la cronologia delle modifiche ai dati DNS con la possibilità di indicizzazione e ricerca, che possono fornire accesso ai seguenti dati:

  • Nome di dominio
  • Indirizzo IP del nome di dominio richiesto
  • Data e ora della risposta
  • Tipo di risposta
  • ecc.

I dati per il Passive DNS vengono raccolti dai server DNS ricursivi tramite moduli integrati o intercettando le risposte dai server DNS responsabili della zona.

Passive DNS nelle mani dell'analista

Figura 1. Passive DNS (prelevata da Ctovision.com)

La caratteristica del Passive DNS è che non è necessario registrare l'indirizzo IP del cliente, il che consente di proteggere la privacy degli utenti.

Attualmente esistono molti servizi che forniscono accesso ai dati Passive DNS:

DNSDB
VirusTotal
PassiveTotal
Octopus
SecurityTrails
Umbrella Investigate

Azienda
Farsight Security
VirusTotal
Riskiq
SafeDNS
SecurityTrails
Cisco

Accesso
Su richiesta
Non richiede registrazione
Registrazione aperta
Su richiesta
Non richiede registrazione
Su richiesta

API
Presente
Presente
Presente
Presente
Presente
Presente

Disponibilità del cliente
Presente
Presente
Presente
Assente
Assente
Assente

Inizio raccolta dati
2010
2013
2009
Mostra solo gli ultimi 3 mesi
2008
2006

Tabella 1. Servizi con accesso ai dati Passive DNS

Opzioni per l'uso del Passive DNS

Utilizzando il Passive DNS è possibile costruire relazioni tra nomi di dominio, server NS e indirizzi IP. Questo consente di creare mappe dei sistemi analizzati e monitorare le modifiche a tale mappa dal primo rilevamento fino al momento attuale.

Inoltre, il Passive DNS facilita l'identificazione delle anomalie nel traffico. Ad esempio, il monitoraggio delle modifiche nelle zone NS e dei record di tipo A e AAAA consente di rilevare siti web dannosi che utilizzano il metodo fast flux, concepito per nascondere i C&C dalla rilevazione e dal blocco. Poiché i nomi di dominio legittimi (a parte quelli utilizzati per il bilanciamento del carico) non cambiano spesso i loro indirizzi IP, e la maggior parte delle zone legittime cambia raramente i propri server NS.

A differenza della semplice enumerazione dei sottodomini tramite dizionari, il Passive DNS consente di trovare anche i nomi di dominio più esotici, come ad esempio “222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. Inoltre, questo può a volte rivelare aree di test (e vulnerabili) del sito web, materiali per sviluppatori, ecc.

Indagine sul link contenuto nell'e-mail, utilizzando il Passive DNS

Attualmente, lo spam è uno dei principali modi in cui un attaccante penetra nel computer della vittima o ruba informazioni riservate. Cerchiamo di investigare il link di una di queste e-mail, utilizzando il Passive DNS, per valutare l'efficacia di questo metodo.

Passive DNS nelle mani dell'analista

Figura 2. E-mail di spam

Il link in questa email portava al sito magnit-boss.rocks, che offriva di raccogliere bonus e ricevere denaro in modalità automatica:

Passive DNS nelle mani dell'analista

Figura 3. Pagina ospitata sul dominio magnit-boss.rocks

Per analizzare questo sito è stato utilizzato API Riskiq, che conta già 3 clienti attivi su Python, Ruby e Rust.

Per prima cosa scopriremo la storia di questo nome di dominio, per fare ciò utilizzeremo il comando:

pt-client pdns —query magnit-boss.rocks

Questo comando fornirà informazioni su tutte le risoluzioni DNS associate a questo nome di dominio.

Passive DNS nelle mani dell'analista

Figura 4. Risposta dall'API Riskiq

Presentiamo la risposta dell'API in una forma più chiara:

Passive DNS nelle mani dell'analista

Figura 5. Tutti i record dalla risposta

Per ulteriori indagini sono stati presi in considerazione gli indirizzi IP a cui questo nome di dominio era risolto al momento della ricezione della email del 01.08.2019, tra cui gli indirizzi 92.119.113.112 e 85.143.219.65.

Utilizzando il comando:

pt-client pdns —query

è possibile ottenere tutti i nomi di dominio associati a questi indirizzi IP.
L'indirizzo IP 92.119.113.112 ha 42 nomi di dominio unici che si sono risolti in questo indirizzo IP, tra cui i seguenti nomi:

  • magnit-boss.club
  • igrovie-avtomaty.me
  • pro-x-audit.xyz
  • zep3-www.xyz
  • e altro ancora.

L'indirizzo IP 85.143.219.65 ha 44 nomi di dominio unici che si sono risolti in questo IP, tra cui ci sono i seguenti nomi:

  • cvv2.name (sito per la vendita di dati di carte di credito)
  • emaills.world
  • www.mailru.space
  • e altro ancora.

I collegamenti con questi nomi di dominio suggeriscono attività di phishing, ma crediamo nella bontà delle persone, quindi cerchiamo di ottenere un bonus di 332 501,72 rubli? Dopo aver cliccato sul pulsante “SÌ”, il sito ci chiede di trasferire 300 rubli da una carta per sbloccare l'account e ci rimanda al sito as-torpay.info per inserire i dati.

Passive DNS nelle mani dell'analista

Figura 6. Pagina principale del sito ac-pay2day.net

A prima vista il sito sembra legittimo, ha un certificato https, e la pagina principale offre di collegare questo sistema di pagamento al proprio sito, ma purtroppo tutti i link per il collegamento non funzionano. Questo nome di dominio si risolve solo in un IP—190.115.19.74. Questo, a sua volta, ha 1475 nomi di dominio unici che si sono risolti in questo IP, tra cui i seguenti nomi:

  • ac-pay2day.net
  • ac-payfit.com
  • as-manypay.com
  • fletkass.net
  • as-magicpay.com
  • e altro ancora.

Come possiamo vedere, il Passive DNS consente di raccogliere rapidamente ed efficacemente i dati sulla risorsa in esame e persino di creare una sorta di impronta che permette di svelare un intero schema di furto di dati personali, dalla loro acquisizione fino al probabile luogo di vendita.

Passive DNS nelle mani dell'analista

Figura 7. Mappa del sistema analizzato

Non è tutto roseo come vorremmo. Ad esempio, tali indagini possono facilmente incontrare ostacoli come CloudFlare o servizi simili. L'efficacia della base di dati raccolta dipende molto dal numero di richieste DNS che passano attraverso il modulo per la raccolta dei dati Passive DNS. Tuttavia, il Passive DNS resta una fonte di informazioni aggiuntive per il ricercatore.

Autore: Specialista del Centro Uralico per i Sistemi di Sicurezza

Fonte: habr.com

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster