Pergala Navê Domainê (DNS) mîna pirtûkek têlefonê ye ku navên bikarhêner-heval ên mîna "ussc.ru" vedigerîne navnîşanên IP-yê. Ji ber ku çalakiya DNS hema hema di hemî danişînên ragihandinê de, bêyî ku protokolê hebe, heye. Ji ber vê yekê, têketina DNS ji bo pisporê ewlehiya agahdarî çavkaniyek hêja ya daneyê ye, ku dihêle ew di derheqê pergala di bin lêpirsînê de anomalî tespît bikin an daneyên zêde bistînin.
Di sala 2004-an de, Florian Weimer rêbazek têketinê ya bi navê Passive DNS pêşniyar kir, ku dihêle hûn dîroka guheztinên daneya DNS-ê bi şiyana navnîşkirin û lêgerînê vegerînin, ku dikare gihîştina daneyên jêrîn peyda bike:
- Navê domainê
- Navnîşana IP ya navnîşa domainê ya daxwazkirî
- Dîrok û dema bersivê
- Tîpa Bersiv
- û vî awayî.
Daneyên ji bo DNS-ya Pasîf ji pêşkêşkerên DNS-ê yên paşverû ji hêla modulên çêkirî ve an jî bi girtina bersivên ji serverên DNS yên ku ji herêmê berpirsiyar in têne berhev kirin.
Wêne 1. DNS-ya pasîf (ji malperê hatî girtin )
Taybetmendiya DNS-ya Pasîf ev e ku ne hewce ye ku navnîşana IP-ya xerîdar tomar bike, ku ji parastina nepeniya bikarhêner re dibe alîkar.
Heya nuha, gelek karûbar hene ku gihîştina daneyên DNS-ya Pasîf peyda dikin:
Şirket
Ewlekariya Farsight
VirusTotal
Riskiq
SafeDNS
rêyên ewlehiyê
Cisco
Navketin
Li ser daxwazê
Ma qeydkirinê ne hewce ye
Registration belaş e
Li ser daxwazê
Ma qeydkirinê ne hewce ye
Li ser daxwazê
API
Amade
Amade
Amade
Amade
Amade
Amade
Hebûna Mişterî
Amade
Amade
Amade
na
na
na
Destpêka berhevkirina daneyan
2010 sal
2013 sal
2009 sal
Tenê 3 mehên dawîn nîşan dide
2008 sal
2006 sal
Tablo 1. Karûbarên bi gihîştina daneyên DNS-ya Pasîf
Dozên ji bo DNS-ya Pasîf bikar bînin
Bi karanîna DNS-ya Pasîf, hûn dikarin têkiliyan di navbera navên domain, serverên NS û navnîşanên IP-yê de ava bikin. Ev dihêle hûn nexşeyên pergalên di bin lêkolînê de ava bikin û guhertinên di nexşeyek wusa de ji vedîtina yekem heya niha bişopînin.
DNS-ya pasîf di heman demê de tespîtkirina anomaliyên di trafîkê de hêsantir dike. Mînakî, şopandina guheztinên li deverên NS û tomarên celeb A û AAAA dihêle hûn bi karanîna rêbaza herikîna bilez, ku ji bo veşartina C&C ji tespîtkirin û astengkirinê hatî çêkirin, malperên xerab nas bikin. Ji ber ku navên domainê yên rewa (ji bilî yên ku ji bo hevsengkirina barkirinê têne bikar anîn) dê navnîşanên IP-ya xwe pir caran neguhezînin, û pir deverên rewa kêm caran serverên xwe yên NS-ê diguherînin.
DNS-ya pasîf, berevajî jimartina rasterast a jêrdomainên ku ferhengan bikar tînin, dihêle hûn navên domainê yên herî biyanî jî bibînin, mînakî, "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Di heman demê de carinan dihêle hûn deverên ceribandinê (û xedar) ên malperê, materyalên pêşdebir, hwd.
Vekolîna girêdanek ji e-nameyê bi karanîna DNS-ya Pasîf
Heya nuha, spam yek ji awayên sereke ye ku tê de êrîşkar derbasî komputera qurbaniyek dibe an agahdariya nepenî dizîne. Ka em hewl bidin ku zencîreya ji e-nameyek wusa bi karanîna DNS-ya Pasîf vekolînin da ku bandora vê rêbazê binirxînin.
Figure 2. Email Spam
Zencîreya vê nameyê rê da malpera magnit-boss.rocks, ku pêşkêşî bixweber berhevkirina bonusan û wergirtina drav kir:
Figure 3. Rûpelê ku li ser domaina magnit-boss.rocks hatî çêkirin
Ji bo lêkolîna vê malperê hate bikar anîn , ku jixwe 3 xerîdarên amade li ser hene , и .
Berî her tiştî, em ê tevahiya dîroka vê navê domainê bibînin, ji bo vê yekê em ê fermanê bikar bînin:
pt-client pdns --pirsa magnit-boss.rocks
Ev ferman dê agahdariya li ser hemî biryarên DNS yên ku bi vê navê domainê ve girêdayî ne vegerîne.
Figure 4. Bersiva ji Riskiq API
Ka em bersiva API-ê bi rengek dîtbartir bînin:
Wêne 5. Hemû navnîşên ji bersivê
Ji bo lêkolîna bêtir, me navnîşanên IP-yê yên ku vê navê domainê di dema wergirtina nameyê di 01.08.2019/92.119.113.112/85.143.219.65 de çareser kiribû, hildan, navnîşanên IP-yê yên weha navnîşanên jêrîn XNUMX û XNUMX in.
Bikaranîna fermanê:
pt-client pdns --pirsîn
hûn dikarin hemî navên domainê yên ku bi navnîşanên IP-yê yên diyarkirî ve girêdayî ne bistînin.
Navnîşana IP-ê 92.119.113.112 42 navên domainê yên yekta hene ku li vê navnîşana IP-yê hatine çareser kirin, di nav wan de navên jêrîn hene:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- û yên din
Navnîşana IP-ya 85.143.219.65 44 navên domainê yên yekta hene ku li vê navnîşana IP-yê hatine çareser kirin, di nav wan de navên jêrîn hene:
- cvv2.name (malpera ji bo firotina daneyên qerta krediyê)
- emaills.world
- www.mailru.space
- û yên din
Têkiliyên bi van navên domainê re dibe sedema fîshingê, lê em bi mirovên dilovan bawer dikin, ji ber vê yekê em hewl bidin ku bonusek 332 rubleyê bistînin? Piştî ku li ser bişkoka "ERÊ" bitikîne, malper ji me dipirse ku em 501.72 rubleyê ji qerta xwe veguhezînin da ku hesabê vekin û me dişîne malperê as-torpay.info da ku daneyan têkevin.
Wêne 6. Rûpelê sereke yê malperê ac-pay2day.net
Ew wekî malperek qanûnî xuya dike, sertîfîkayek https heye, û rûpela sereke pêşkêşî dike ku vê pergala dravdanê bi malpera xwe ve girêbide, lê, mixabin, hemî girêdanên girêdanê naxebitin. Navê vê domainê tenê bi 1-navnîşana IP-ê - 190.115.19.74 çareser dike. Ew, di encamê de, 1475 navên domainê yên bêhempa hene ku vê navnîşana IP-yê çareser dikin, di nav de navên wekî:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- û yên din
Wekî ku em dibînin, Passive DNS dihêle hûn bi lez û bez daneyên di derbarê çavkaniya di bin lêkolînê de berhev bikin û tewra celebek çapkirinê jî ava bikin ku dihêle hûn tevahiya nexşeya dizîna daneyên kesane, ji wergirtina wê heya cîhê îhtîmala firotanê vebikin.
Wêne 7. Nexşeya pergala lêkolînê
Ne her tişt bi qasî ku em dixwazin gul e. Mînakî, vekolînên weha dikarin bi hêsanî li ser CloudFlare an karûbarên mîna wan bişkînin. Û bandoriya databasa berhevkirî pir bi hejmara pirsên DNS-ê yên ku di modulê de ji bo berhevkirina daneyên DNS-ya Pasîf derbas dibin ve girêdayî ye. Lêbelê, DNS Passive ji bo lêkolîner çavkaniyek agahdariya zêde ye.
Nivîskar: Pisporê Navenda Ural ji bo Pergalên Ewlekariyê
Source: www.habr.com