DNS פסיבי בידיו של אנליסט

מערכת שמות הדומיין (DNS) היא כמו ספר טלפונים שמתרגם שמות ידידותיים למשתמש כמו "ussc.ru" לכתובות IP. מכיוון שפעילות DNS קיימת כמעט בכל הפעלות התקשורת, ללא קשר לפרוטוקול. לפיכך, רישום DNS הוא מקור חשוב של נתונים עבור מומחי אבטחת מידע, המאפשר להם לזהות חריגות או להשיג נתונים נוספים על המערכת הנחקרת.

בשנת 2004, פלוריאן וימר הציע שיטת רישום שנקראת Passive DNS, המאפשרת לך לשחזר את ההיסטוריה של שינויים בנתוני DNS עם יכולת אינדקס וחיפוש, מה שיכול לספק גישה לנתונים הבאים:

• שם דומיין
• כתובת ה-IP של שם הדומיין המבוקש
• תאריך ושעת תגובה
• סוג תגובה
• וכו '

נתונים עבור DNS פסיבי נאספים משרתי DNS רקורסיביים על ידי מודולים מובנים או על ידי יירוט תגובות משרתי DNS האחראים על האזור.

איור 1. DNS פסיבי (נלקח מהאתר Ctovision.com)

תכונה של DNS פסיבי היא שאין צורך לרשום את כתובת ה-IP של הלקוח, מה שעוזר להגן על פרטיות המשתמש.

נכון לעכשיו, ישנם שירותים רבים המספקים גישה לנתוני DNS פסיביים:

DNSDB
VirusTotal
פסיבי סך הכל
תמנון
מסלולי אבטחה
מטריה לחקור

חברה
Farsight Security
VirusTotal
ריסקיק
SafeDNS
מסלולי אבטחה
סיסקו

גישה
בבקשה
לא מצריך הרשמה
ההרשמה חינם
בבקשה
לא מצריך הרשמה
בבקשה

API
מתנה
מתנה
מתנה
מתנה
מתנה
מתנה

זמינות של לקוח
מתנה
מתנה
מתנה
אף לא אחד
אף לא אחד
אף לא אחד

תחילת איסוף הנתונים
בשנת 2010
בשנת 2013
בשנת 2009
מציג רק את 3 החודשים האחרונים
בשנת 2008
בשנת 2006

טבלה 1. שירותים עם גישה לנתוני DNS פסיביים

מקרי שימוש עבור DNS פסיבי

באמצעות DNS פסיבי ניתן לבנות חיבורים בין שמות דומיין, שרתי NS וכתובות IP. זה מאפשר לבנות מפות של המערכות הנבדקות ולעקוב אחר שינויים במפה כזו מהגילוי הראשון ועד לרגע הנוכחי.

DNS פסיבי גם מקל על זיהוי חריגות תנועה. לדוגמה, מעקב אחר שינויים באזורי NS ורשומות מסוג A ו-AAAA מאפשר לך לזהות אתרים זדוניים המשתמשים בשיטת השטף המהיר, שנועדה להסתיר C&C מזיהוי וחסימה. מכיוון ששמות דומיין לגיטימיים (למעט אלו המשמשים לאיזון עומסים) לא ישנו את כתובות ה-IP שלהם לעתים קרובות, ורוב האזורים הלגיטימיים משנים את שרתי ה-NS שלהם לעתים רחוקות.

DNS פסיבי, בניגוד לחיפוש ישיר של תת-דומיינים באמצעות מילונים, מאפשר לך למצוא אפילו את שמות הדומיינים האקזוטיים ביותר, למשל "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". זה גם מאפשר לפעמים למצוא אזורי בדיקה (ופגיעים) באתר האינטרנט, חומרים למפתחים וכו'.

חיפוש קישור ממייל באמצעות DNS פסיבי

נכון לעכשיו, ספאם הוא אחת הדרכים העיקריות שבהן תוקף חודר למחשב של הקורבן או גונב מידע סודי. בואו ננסה לבחון את הקישור ממכתב כזה באמצעות DNS פסיבי כדי להעריך את היעילות של שיטה זו.

איור 2. דואר זבל

הקישור מהמכתב הזה הוביל לאתר magnit-boss.rocks, שהציע לאסוף בונוסים אוטומטית ולקבל כסף:

איור 3. הדף מתארח בדומיין magnit-boss.rocks

כדי ללמוד את האתר הזה, השתמשתי API Riskiq, שכבר יש לה 3 לקוחות מוכנים פיתון, אוֹדֶם и חלודה.

קודם כל, נגלה את כל ההיסטוריה של שם הדומיין הזה, לשם כך נשתמש בפקודה:

pt-client pdns —שאילתה magnet-boss.rocks

פקודה זו תציג מידע על כל פתרונות ה-DNS המשויכים לשם תחום זה.

איור 4. תגובה מאת Riskiq API

בואו נעביר את התגובה מה-API לצורה ויזואלית יותר:

איור 5. כל הערכים מהתגובה

למחקר נוסף, לקחנו את כתובות ה-IP שאליהן נסגר שם התחום הזה בזמן שהמכתב התקבל ב-01.08.2019/92.119.113.112/85.143.219.65, כתובות IP כאלה הן הכתובות הבאות XNUMX ו-XNUMX.

באמצעות הפקודה:

pt-client pdns --שאילתה

אתה יכול לקבל את כל שמות הדומיין המשויכים לכתובות IP אלו.
לכתובת ה-IP 92.119.113.112 יש 42 שמות דומיינים ייחודיים שמתייחסים לכתובת IP זו, ביניהם השמות הבאים:

• magnet-boss.club
• igrovie-avtomaty.me
• pro-x-audit.xyz
• zep3-www.xyz
• ואח '

לכתובת ה-IP 85.143.219.65 יש 44 שמות דומיינים ייחודיים שמתייחסים לכתובת IP זו, ביניהם השמות הבאים:

• cvv2.name (אתר למכירת נתוני כרטיסי אשראי)
• emaills.world
• www.mailru.space
• ואח '

חיבורים עם שמות דומיינים אלה מרמזים על פישינג, אבל אנחנו מאמינים באנשים טובים, אז בואו ננסה לקבל בונוס של 332 רובל? לאחר לחיצה על כפתור "כן", האתר מבקש מאיתנו להעביר 501.72 רובל מהכרטיס כדי לבטל את נעילת החשבון ושולח אותנו לאתר as-torpay.info כדי להזין נתונים.

איור 6. דף הבית של האתר ac-pay2day.net

זה נראה כמו אתר חוקי, יש תעודת https, והעמוד הראשי מציע לחבר את מערכת התשלום הזו לאתר שלך, אבל, אבוי, כל הקישורים לחיבור לא עובדים. שם דומיין זה עונה על כתובת IP אחת בלבד - 1. יש לו, בתורו, 190.115.19.74 שמות דומיינים ייחודיים שמתייחסים לכתובת IP זו, כולל שמות כמו:

• ac-pay2day.net
• ac-payfit.com
• as-manypay.com
• fletkass.net
• as-magicpay.com
• ואח '

כפי שאנו יכולים לראות, DNS פסיבי מאפשר לך לאסוף במהירות וביעילות נתונים על המשאב הנחקר ואף לבנות מעין טביעת אצבע המאפשרת לך לחשוף תוכנית שלמה לגניבת נתונים אישיים, החל מהקבלה ועד למקום המכירה הסביר.

איור 7. מפת המערכת הנבדקת

לא הכל ורוד כמו שהיינו רוצים. לדוגמה, חקירות כאלה עלולות להיכשל בקלות ב-CloudFlare או בשירותים דומים. והיעילות של מסד הנתונים שנאסף תלויה מאוד במספר בקשות ה-DNS העוברות דרך המודול לאיסוף נתוני DNS פסיביים. אך עם זאת, DNS פסיבי הוא מקור מידע נוסף עבור החוקר.

מחבר: מומחה מרכז אוראל למערכות אבטחה

מקור: www.habr.com