분석가의 수동 DNS

DNS(도메인 이름 시스템)는 "ussc.ru"와 같은 사용자에게 친숙한 이름을 IP 주소로 변환하는 전화번호부와 같습니다. 프로토콜에 관계없이 거의 모든 통신 세션에 DNS 활동이 존재하기 때문입니다. 따라서 DNS 로깅은 정보 보안 전문가에게 귀중한 데이터 소스로, 이를 통해 이상 현상을 감지하거나 연구 중인 시스템에 대한 추가 데이터를 얻을 수 있습니다.

2004년 Florian Weimer는 Passive DNS라는 로깅 방법을 제안했습니다. 이 방법을 사용하면 색인 및 검색 기능을 통해 DNS 데이터 변경 내역을 복원할 수 있으며 다음 데이터에 대한 액세스를 제공할 수 있습니다.

• 도메인 이름
• 요청한 도메인 이름의 IP 주소
• 응답 날짜 및 시간
• 응답 유형
• 기타

패시브 DNS의 데이터는 내장 모듈을 통해 재귀 DNS 서버에서 수집되거나 해당 영역을 담당하는 DNS 서버의 응답을 가로채는 방식으로 수집됩니다.

그림 1. 패시브 DNS(사이트에서 가져옴) Ctovision.com)

패시브 DNS의 특징은 클라이언트의 IP 주소를 등록할 필요가 없다는 점이며, 이는 사용자 개인 정보를 보호하는 데 도움이 됩니다.

현재 패시브 DNS 데이터에 대한 액세스를 제공하는 많은 서비스가 있습니다.

DNSDB
VirusTotal
수동 합계
문어
보안트레일
우산 조사

회사
원거리 보안
VirusTotal
리스키크
safedns
보안트레일
시스코

접속하다
По запросу
등록이 필요하지 않습니다
등록은 무료입니다
По запросу
등록이 필요하지 않습니다
По запросу

API
선물
선물
선물
선물
선물
선물

클라이언트의 가용성
선물
선물
선물
...의 어느 조금도 ... 않다
...의 어느 조금도 ... 않다
...의 어느 조금도 ... 않다

데이터 수집 시작
2010 년
2013 년
2009 년
최근 3개월만 표시됩니다.
2008 년
2006 년

표 1. 패시브 DNS 데이터에 액세스할 수 있는 서비스

패시브 DNS 사용 사례

패시브 DNS를 사용하면 도메인 이름, NS 서버 및 IP 주소 간의 연결을 구축할 수 있습니다. 이를 통해 연구 중인 시스템의 맵을 구축하고 첫 번째 발견부터 현재 순간까지 해당 맵의 변경 사항을 추적할 수 있습니다.

또한 패시브 DNS를 사용하면 트래픽 이상을 더 쉽게 감지할 수 있습니다. 예를 들어, NS 영역의 변경 사항과 A 및 AAAA 유형의 레코드를 추적하면 탐지 및 차단으로부터 C&C를 숨기도록 설계된 Fast Flux 방법을 사용하는 악성 사이트를 식별할 수 있습니다. 합법적인 도메인 이름(로드 균형 조정에 사용되는 도메인 이름 제외)은 IP 주소를 자주 변경하지 않으며 대부분의 합법적인 영역에서는 NS 서버를 거의 변경하지 않기 때문입니다.

사전을 사용하여 하위 도메인을 직접 검색하는 것과 달리 수동 DNS를 사용하면 "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefine7140c0.p.hoff.ru"와 같이 가장 이국적인 도메인 이름도 찾을 수 있습니다. 또한 웹사이트, 개발자 자료 등의 테스트(및 취약한) 영역을 찾을 수도 있습니다.

패시브 DNS를 사용하여 이메일의 링크 조사

현재 스팸은 공격자가 피해자의 컴퓨터에 침투하거나 기밀 정보를 훔치는 주요 방법 중 하나입니다. 이 방법의 효율성을 평가하기 위해 수동 DNS를 사용하여 그러한 편지의 링크를 조사해 보겠습니다.

그림 2. 스팸 이메일

이 편지의 링크는 자동으로 보너스를 수집하고 돈을 받을 수 있는 magnit-boss.rocks 사이트로 연결되었습니다.

그림 3. magnit-boss.rocks 도메인에 호스팅된 페이지

이 사이트를 연구하기 위해 나는 다음을 사용했습니다. API 리스크, 이미 3개의 기성 클라이언트가 있습니다. Python, 루비 и 녹.

우선, 이 도메인 이름의 전체 기록을 알아낼 것입니다. 이를 위해 다음 명령을 사용합니다.

pt-client pdns - 자석-boss.rocks 쿼리

이 명령은 이 도메인 이름과 관련된 모든 DNS 확인에 대한 정보를 표시합니다.

그림 4. Riskiq API의 응답

API의 응답을 보다 시각적인 형태로 표현해 보겠습니다.

그림 5. 응답의 모든 항목

추가 조사를 위해 우리는 01.08.2019년 92.119.113.112월 85.143.219.65일 편지를 받은 당시 이 도메인 이름이 확인된 IP 주소를 가져왔습니다. 이러한 IP 주소는 다음 주소 XNUMX 및 XNUMX입니다.

다음 명령을 사용합니다.

pt-클라이언트 pdns --쿼리

이러한 IP 주소와 연결된 모든 도메인 이름을 얻을 수 있습니다.
IP 주소 92.119.113.112에는 이 IP 주소로 확인되는 42개의 고유한 도메인 이름이 있으며 그 중 이름은 다음과 같습니다.

• 자석보스클럽
• igrovie-avtomaty.me
• 프로-x-audit.xyz
• zep3-www.xyz
• 등의 알

IP 주소 85.143.219.65에는 이 IP 주소로 확인되는 44개의 고유한 도메인 이름이 있으며 그 중 이름은 다음과 같습니다.

• cvv2.name (신용카드 데이터 판매 사이트)
• emaills.world
• www.mailru.space
• 등의 알

이러한 도메인 이름과의 연결은 피싱을 암시하지만 우리는 좋은 사람들을 믿으므로 332 루블의 보너스를 얻으려고 노력해 볼까요? "예" 버튼을 클릭하면 사이트에서 계정 잠금 해제를 위해 카드에서 501.72루블을 이체하도록 요청하고 데이터를 입력하기 위해 as-torpay.info 사이트로 보냅니다.

그림 6. ac-pay2day.net 사이트의 홈 페이지

합법적인 사이트처럼 보이고 https 인증서가 있으며 기본 페이지에서 이 결제 시스템을 귀하의 사이트에 연결하도록 제안하지만 아쉽게도 연결을 위한 모든 링크가 작동하지 않습니다. 이 도메인 이름은 1개의 IP 주소(190.115.19.74)로만 확인됩니다. 또한 다음과 같은 이름을 포함하여 이 IP 주소로 확인되는 1475개의 고유한 도메인 이름이 있습니다.

• ac-pay2day.net
• ac-payfit.com
• as-manypay.com
• fletkass.net
• as-magicpay.com
• 등의 알

보시다시피, 패시브 DNS를 사용하면 연구 중인 리소스에 대한 데이터를 빠르고 효율적으로 수집할 수 있으며, 영수증부터 판매 장소까지 개인 데이터를 훔치는 전체 계획을 밝힐 수 있는 일종의 지문을 구축할 수도 있습니다.

그림 7. 연구 중인 시스템 지도

모든 것이 우리가 원하는 만큼 장밋빛은 아닙니다. 예를 들어 CloudFlare 또는 유사한 서비스에서는 이러한 조사가 쉽게 실패할 수 있습니다. 그리고 수집된 데이터베이스의 효율성은 Passive DNS 데이터 수집 모듈을 통과하는 DNS 요청 수에 따라 크게 달라집니다. 그럼에도 불구하고, 패시브 DNS는 연구원에게 추가 정보를 제공하는 소스입니다.

저자: 우랄 보안 시스템 센터 전문가

출처 : habr.com