ドメイン ネーム システム (DNS) は、「ussc.ru」などのわかりやすい名前を IP アドレスに変換する電話帳のようなものです。 DNS アクティビティは、プロトコルに関係なく、ほぼすべての通信セッションに存在します。 したがって、DNS ログは情報セキュリティの専門家にとって貴重なデータ ソースであり、異常を検出したり、研究中のシステムに関する追加データを取得したりすることができます。
2004 年に、Florian Weimer はパッシブ DNS と呼ばれるロギング方法を提案しました。これにより、インデックス付けと検索機能を使用して DNS データの変更履歴を復元でき、次のデータへのアクセスが可能になります。
- ドメイン名
- 要求されたドメイン名の IP アドレス
- 回答日時
- 応答タイプ
- 等
パッシブ DNS のデータは、組み込みモジュールによって、またはゾーンを担当する DNS サーバーからの応答をインターセプトすることによって、再帰的 DNS サーバーから収集されます。
図 1. パッシブ DNS (サイトから抜粋) )
パッシブ DNS の特徴は、クライアントの IP アドレスを登録する必要がないことであり、ユーザーのプライバシーの保護に役立ちます。
現時点では、パッシブ DNS データへのアクセスを提供するサービスが数多くあります。
会社
ファーサイトセキュリティ
VirusTotalの
リスクク
セーフDNS
セキュリティトレイル
Cisco
アクセス
Позапросу
登録は必要ありません
登録は無料です
Позапросу
登録は必要ありません
Позапросу
API
現在
現在
現在
現在
現在
現在
クライアントの可用性
現在
現在
現在
ノー
ノー
ノー
データ収集の開始
2010年
2013年
2009年
過去 3 か月のみを表示します
2008年
2006年
表 1. パッシブ DNS データにアクセスできるサービス
パッシブ DNS の使用例
パッシブ DNS を使用すると、ドメイン名、NS サーバー、および IP アドレス間の接続を構築できます。 これにより、研究対象のシステムのマップを作成し、最初の発見から現時点までのマップの変化を追跡することができます。
パッシブ DNS を使用すると、トラフィックの異常を検出しやすくなります。 たとえば、NS ゾーンとタイプ A および AAAA のレコードの変更を追跡すると、C&C を検出やブロックから隠すように設計された高速フラックス方式を使用する悪意のあるサイトを特定できます。 正規のドメイン名 (ロード バランシングに使用されるものを除く) は IP アドレスを頻繁に変更せず、ほとんどの正規ゾーンでは NS サーバーが変更されることはほとんどないためです。
辞書を使用したサブドメインの直接検索とは対照的に、パッシブ DNS を使用すると、「222qmxacaiqaaaaazibq4aaidhmbqaaa0unknown7140c0.p.hoff.ru」などの最も珍しいドメイン名でも検索できます。 また、Web サイトや開発者資料などのテスト (および脆弱) 領域を見つけることもできる場合があります。
パッシブ DNS を使用して電子メールからリンクを調査する
現在、スパムは、攻撃者が被害者のコンピュータに侵入したり、機密情報を盗んだりする主な手段の XNUMX つです。 この方法の有効性を評価するために、パッシブ DNS を使用してそのようなレターからのリンクを調べてみましょう。
図 2. スパムメール
この手紙からのリンクは magnit-boss.rocks というサイトにつながり、自動的にボーナスを集めてお金を受け取ることを提案しました。
図 3. ドメイン magnit-boss.rocks でホストされているページ
このサイトを研究するために私が使用したのは、 、すでに 3 つの既製クライアントがあります , и .
まず最初に、このドメイン名の履歴全体を調べます。これには次のコマンドを使用します。
pt-client pdns — クエリ Magnet-boss.rocks
このコマンドは、このドメイン名に関連付けられたすべての DNS 解決に関する情報を表示します。
図 4. Riskiq API からの応答
API からの応答をより視覚的な形式に変換してみましょう。
図 5. 応答のすべてのエントリ
さらなる調査のために、01.08.2019 年 92.119.113.112 月 85.143.219.65 日にこの手紙を受け取った時点でこのドメイン名が解決された IP アドレスを取得しました。そのような IP アドレスは、次のアドレス XNUMX および XNUMX です。
コマンドの使用:
pt-client pdns --query
これらの IP アドレスに関連付けられているすべてのドメイン名を取得できます。
IP アドレス 92.119.113.112 には、この IP アドレスに解決される 42 個の一意のドメイン名があり、その中には次の名前があります。
- マグネットボスクラブ
- igrovi-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- そして、など
IP アドレス 85.143.219.65 には、この IP アドレスに解決される 44 個の一意のドメイン名があり、その中には次の名前があります。
- cvv2.name (クレジット カード データを販売するサイト)
- emaills.world
- www.mailru.space
- そして、など
これらのドメイン名との関係はフィッシングを示唆していますが、私たちは善良な人々を信じています。それで 332 ルーブルのボーナスを獲得してみませんか? 「はい」ボタンをクリックすると、サイトはアカウントのロックを解除するためにカードから 501.72 ルーブルを送金するよう求め、データを入力するためにサイト as-torpay.info に送信されます。
図 6. サイト ac-pay2day.net のホームページ
合法的なサイトのように見え、https 証明書があり、メイン ページではこの支払いシステムをサイトに接続するよう提案されていますが、残念なことに、接続するためのリンクはすべて機能しません。 このドメイン名は 1 つの IP アドレス (190.115.19.74) のみに解決されます。 さらに、この IP アドレスに解決される 1475 個の一意のドメイン名があり、次のような名前が含まれます。
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- そして、など
ご覧のとおり、パッシブ DNS を使用すると、研究対象のリソースに関するデータを迅速かつ効率的に収集でき、さらには、個人データの受領から販売場所と思われる場所に至るまで、個人データを盗むスキーム全体を解明できる一種のフィンガープリントを構築することもできます。
図 7. 研究中のシステムのマップ
私たちが望むようにすべてがバラ色になるわけではありません。 たとえば、このような調査は、CloudFlare または同様のサービスでは簡単に失敗する可能性があります。 また、収集されたデータベースの有効性は、パッシブ DNS データを収集するモジュールを通過する DNS リクエストの数に大きく依存します。 それでもなお、パッシブ DNS は研究者にとって追加情報のソースです。
著者: ウラル セキュリティ システム センターのスペシャリスト
出所: habr.com