Домендік атаулар жүйесі (DNS) «ussc.ru» сияқты пайдаланушыға ыңғайлы атауларды IP мекенжайларына аударатын телефон кітапшасы сияқты. DNS белсенділігі протоколға қарамастан барлық дерлік байланыс сеанстарында бар болғандықтан. Осылайша, DNS журналы ақпараттық қауіпсіздік мамандары үшін аномалияларды анықтауға немесе зерттелетін жүйе туралы қосымша деректерді алуға мүмкіндік беретін құнды деректер көзі болып табылады.
2004 жылы Флориан Веймер келесі деректерге қол жеткізуді қамтамасыз ете алатын индекстеу және іздеу мүмкіндігімен DNS деректерінің өзгерістерінің тарихын қалпына келтіруге мүмкіндік беретін пассивті DNS деп аталатын тіркеу әдісін ұсынды:
- Домен атауы
- Сұралған домен атауының IP мекенжайы
- Жауап беру күні мен уақыты
- Жауап түрі
- және т.б.
Пассивті DNS деректері кірістірілген модульдер арқылы немесе аймаққа жауапты DNS серверлерінің жауаптарын ұстау арқылы рекурсивті DNS серверлерінен жиналады.
Сурет 1. Пассивті DNS (сайттан алынған )
Пассивті DNS ерекшелігі клиенттің IP мекенжайын тіркеудің қажеті жоқ, бұл пайдаланушының құпиялылығын қорғауға көмектеседі.
Қазіргі уақытта пассивті DNS деректеріне қол жеткізуді қамтамасыз ететін көптеген қызметтер бар:
компания
Farsight Security
VirusTotal
Тәуекел
SafeDNS
Қауіпсіздік жолдары
Cisco
Қол жеткізу
Сұраныс бойынша
Тіркеуді қажет етпейді
Тіркелу тегін
Сұраныс бойынша
Тіркеуді қажет етпейді
Сұраныс бойынша
API
Сыйлық
Сыйлық
Сыйлық
Сыйлық
Сыйлық
Сыйлық
Клиенттің болуы
Сыйлық
Сыйлық
Сыйлық
жоқ
жоқ
жоқ
Мәліметтерді жинаудың басталуы
2010 жыл
2013 жыл
2009 жыл
Тек соңғы 3 айды көрсетеді
2008 жыл
2006 жыл
Кесте 1. Пассивті DNS деректеріне рұқсаты бар қызметтер
Пассивті DNS үшін жағдайларды пайдаланыңыз
Пассивті DNS көмегімен домен атаулары, NS серверлері және IP мекенжайлары арасында байланыс орнатуға болады. Бұл зерттелетін жүйелердің карталарын құруға және мұндай картадағы алғашқы ашылған сәттен бастап ағымдағы сәтке дейінгі өзгерістерді бақылауға мүмкіндік береді.
Пассивті DNS сонымен қатар трафик ауытқуларын анықтауды жеңілдетеді. Мысалы, NS аймақтарындағы өзгерістерді және A және AAAA түріндегі жазбаларды бақылау C&C анықтаудан және блоктаудан жасыруға арналған жылдам ағын әдісін пайдаланатын зиянды сайттарды анықтауға мүмкіндік береді. Өйткені заңды домен атаулары (жүктемені теңестіру үшін пайдаланылатындардан басқа) өздерінің IP мекенжайларын жиі өзгертпейді, ал заңды аймақтардың көпшілігі NS серверлерін сирек өзгертеді.
Пассивті DNS, сөздіктердің көмегімен ішкі домендерді тікелей іздеуден айырмашылығы, тіпті ең экзотикалық домен атауларын табуға мүмкіндік береді, мысалы, «222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru». Ол сондай-ақ кейде веб-сайттың тестілеу (және осал) аймақтарын, әзірлеушілер материалдарын және т.б. табуға мүмкіндік береді.
Пассивті DNS көмегімен электрондық поштаның сілтемесін зерттеу
Қазіргі уақытта спам шабуылдаушы жәбірленушінің компьютеріне ену немесе құпия ақпаратты ұрлаудың негізгі әдістерінің бірі болып табылады. Осы әдістің тиімділігін бағалау үшін пассивті DNS көмегімен осындай хаттың сілтемесін қарастырып көрейік.
Сурет 2. Спам электрондық пошта
Осы хаттың сілтемесі магнит-boss.rocks сайтына әкелді, ол автоматты түрде бонустар жинауды және ақша алуды ұсынды:
Сурет 3. magnit-boss.rocks доменінде орналастырылған бет
Бұл сайтты зерттеу үшін мен пайдаландым , оның 3 дайын клиенті бар , и .
Ең алдымен, біз осы домендік атаудың бүкіл тарихын білеміз, ол үшін пәрменді қолданамыз:
pt-client pdns — magnet-boss.rocks сұрауы
Бұл пәрмен осы домен атауымен байланысты барлық DNS шешімдері туралы ақпаратты көрсетеді.
Сурет 4. Riskiq API жауабы
API жауабын көрнекі пішінге келтірейік:
Сурет 5. Жауаптағы барлық жазбалар
Әрі қарай зерттеу үшін біз 01.08.2019 жылы хатты алған кезде осы домендік атау шешілген IP мекенжайларын алдық, мұндай IP мекенжайлары келесі 92.119.113.112 және 85.143.219.65 мекенжайлары болып табылады.
Пәрменді пайдалану:
pt-client pdns --сұрау
сіз осы IP мекенжайларымен байланысты барлық домен атауларын ала аласыз.
92.119.113.112 IP мекенжайында осы IP мекенжайына сәйкес келетін 42 бірегей домендік атаулар бар, олардың арасында келесі атаулар бар:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- және т.б
85.143.219.65 IP мекенжайында осы IP мекенжайына сәйкес келетін 44 бірегей домендік атаулар бар, олардың арасында келесі атаулар бар:
- cvv2.name (несие картасы деректерін сатуға арналған сайт)
- emaills.world
- www.mailru.space
- және т.б
Бұл домендік атаулармен байланыс фишингті ұсынады, бірақ біз жақсы адамдарға сенеміз, сондықтан 332 501.72 рубль бонус алуға тырысайық? «ИӘ» түймесін басқаннан кейін сайт шоттың құлпын ашу үшін картадан 300 рубль аударуды сұрайды және деректерді енгізу үшін бізді as-torpay.info сайтына жібереді.
Сурет 6. ac-pay2day.net сайтының басты беті
Бұл заңды сайтқа ұқсайды, https сертификаты бар және басты бетте осы төлем жүйесін сіздің сайтыңызға қосу ұсынылады, бірақ, өкінішке орай, қосылу үшін барлық сілтемелер жұмыс істемейді. Бұл домендік атау тек 1 IP мекенжайын шешеді - 190.115.19.74. Ол, өз кезегінде, осы IP мекенжайын шешетін 1475 бірегей домендік атауларға ие, соның ішінде:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- және т.б
Көріп отырғанымыздай, пассивті DNS зерттелетін ресурс туралы деректерді жылдам және тиімді жинауға және тіпті жеке деректерді ұрлаудың барлық схемасын, оны алудан бастап ықтимал сату орнына дейін ашуға мүмкіндік беретін саусақ ізін құруға мүмкіндік береді.
Сурет 7. Зерттелетін жүйенің картасы
Барлығы біз қалағандай қызғылт емес. Мысалы, мұндай зерттеулер CloudFlare немесе ұқсас қызметтерде оңай сәтсіздікке ұшырауы мүмкін. Ал жиналған деректер қорының тиімділігі Пассивті DNS деректерін жинауға арналған модуль арқылы өтетін DNS сұрауларының санына байланысты. Дегенмен, пассивті DNS зерттеуші үшін қосымша ақпарат көзі болып табылады.
Авторы: Орал қауіпсіздік жүйелері орталығының маманы
Ақпарат көзі: www.habr.com