Домендик аталыштар системасы (DNS) "ussc.ru" сыяктуу колдонуучуга ыңгайлуу аталыштарды IP даректерине которгон телефон китепчеси сыяктуу. DNS активдүүлүгү протоколго карабастан, дээрлик бардык байланыш сессияларында бар болгондуктан. Ошентип, DNS журналы маалымат коопсуздугу боюнча адистер үчүн баалуу маалыматтардын булагы болуп саналат, алар аномалияларды аныктоого же изилденип жаткан система жөнүндө кошумча маалыматтарды алууга мүмкүндүк берет.
2004-жылы Флориан Веймер Пассивдүү DNS деп аталган журналга жазуу ыкмасын сунуш кылган, ал DNS маалыматтарынын өзгөрүү тарыхын индекстөө жана издөө мүмкүнчүлүгү менен калыбына келтирүүгө мүмкүндүк берет, ал төмөнкү маалыматтарга жетүүнү камсыздай алат:
- Домен аты
- Суралган домендик аталыштын IP дареги
- Жооптун датасы жана убактысы
- Жооп түрү
- жана башкалар.
Пассивдүү DNS үчүн маалыматтар рекурсивдүү DNS серверлеринен орнотулган модулдар аркылуу же зона үчүн жооптуу DNS серверлеринин жоопторуна бөгөт коюу аркылуу чогултулат.
Сүрөт 1. Пассивдүү DNS (сайттан алынган
Пассивдүү DNS өзгөчөлүгү кардардын IP дарегин каттоонун кереги жок, бул колдонуучунун купуялыгын коргоого жардам берет.
Азыркы учурда, пассивдүү DNS маалыматтарына мүмкүнчүлүк берген көптөгөн кызматтар бар:
компания
Farsight Коопсуздук
VirusTotal
Riskiq
SafeDNS
коопсуздук жолдору
Cisco
Кирүү
Суроолор боюнча
Каттоону талап кылбайт
Каттоо бекер
Суроолор боюнча
Каттоону талап кылбайт
Суроолор боюнча
API
Азыркы
Азыркы
Азыркы
Азыркы
Азыркы
Азыркы
Кардардын болушу
Азыркы
Азыркы
Азыркы
жок
жок
жок
Маалыматтарды чогултуунун башталышы
2010 жыл
2013 жыл
2009 жыл
Акыркы 3 айды гана көрсөтөт
2008 жыл
2006 жыл
Таблица 1. Пассивдүү DNS маалыматтарына кирүү мүмкүнчүлүгү бар кызматтар
Пассивдүү DNS үчүн учурларды колдонуңуз
Пассивдүү DNSти колдонуу менен сиз домен аттары, NS серверлери жана IP даректеринин ортосунда байланыштарды түзө аласыз. Бул изилденип жаткан системалардын карталарын түзүүгө жана биринчи ачылыштан азыркы учурга чейин мындай картадагы өзгөрүүлөргө көз салууга мүмкүндүк берет.
Пассивдүү DNS ошондой эле трафиктин аномалияларын аныктоону жеңилдетет. Мисалы, NS зоналарындагы өзгөрүүлөргө жана А жана AAAA тибиндеги жазууларга көз салуу C&C аныктоодон жана бөгөттөөдөн жашыруу үчүн иштелип чыккан тез флюс ыкмасын колдонгон зыяндуу сайттарды аныктоого мүмкүндүк берет. Анткени мыйзамдуу домендик аталыштар (жүк теңдештирүүдө колдонулгандардан башкасы) IP даректерин көп өзгөртпөйт, ал эми көпчүлүк мыйзамдуу зоналар NS серверлерин сейрек өзгөртүшөт.
Пассивдүү DNS, сөздүктөрдүн жардамы менен субдомендерди түз издөөдөн айырмаланып, эң экзотикалык домендик аталыштарды табууга мүмкүндүк берет, мисалы “222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. Ал ошондой эле кээде веб-сайттын тестирлөө (жана аялуу) жерлерин, иштеп чыгуучу материалдарды ж.б. табууга мүмкүндүк берет.
Passive DNS аркылуу электрондук почтадан шилтемени изилдөө
Учурда спам чабуулчу жабырлануучунун компьютерине кирүү же купуя маалыматты уурдоо негизги жолдорунун бири болуп саналат. Келгиле, бул ыкманын натыйжалуулугун баалоо үчүн Passive DNS аркылуу ушундай каттын шилтемесин карап көрөлү.
Сүрөт 2. Спам электрондук почта
Бул каттын шилтемеси магнит-boss.rocks сайтына алып келди, ал автоматтык түрдө бонустарды чогултууну жана акча алууну сунуштады:
3-сүрөт. magnit-boss.rocks доменинде жайгашкан баракча
Бул сайтты изилдөө үчүн, мен колдонгон
Биринчиден, биз бул домендик аталыштын бүт тарыхын табабыз, бул үчүн биз буйрукту колдонобуз:
pt-client pdns —суроо магнит-boss.rocks
Бул буйрук ушул домендик ат менен байланышкан бардык DNS чечимдери жөнүндө маалыматты көрсөтөт.
4-сүрөт. Riskiq APIден жооп
Келгиле, API'ден жоопту визуалдык формага киргизели:
Сүрөт 5. Жооптун бардык жазуулары
Андан ары изилдөө үчүн биз 01.08.2019-ж. кат алынган учурда бул домендик аталыш чечилген IP даректерди алдык, мындай IP даректер төмөнкү даректер: 92.119.113.112 жана 85.143.219.65.
Буйрукту колдонуу:
pt-client pdns --суроо
бул IP даректер менен байланышкан бардык домендик аталыштарды ала аласыз.
IP дареги 92.119.113.112 бул IP дарегин чечүүчү 42 уникалдуу домендик аталыштарга ээ, алардын арасында төмөнкү аталыштар бар:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- жана башка
IP дареги 85.143.219.65 бул IP дарегин чечүүчү 44 уникалдуу домендик аталыштарга ээ, алардын арасында төмөнкү аталыштар бар:
- cvv2.name (кредит картасынын маалыматтарын сатуу үчүн сайт)
- emaills.world
- www.mailru.space
- жана башка
Бул домендик аталыштар менен байланыштар фишингди сунуштайт, бирок биз жакшы адамдарга ишенебиз, андыктан 332 501.72 рубль бонус алууга аракет кылалы? "Ооба" баскычын баскандан кийин, сайт бизден эсептин кулпусун ачуу үчүн картадан 300 рубль которууну суранат жана маалыматтарды киргизүү үчүн бизди as-torpay.info сайтына жөнөтөт.
Сүрөт 6. ac-pay2day.net сайтынын башкы бети
Бул мыйзамдуу сайт окшойт, https сертификаты бар жана башкы бет бул төлөм системасын сиздин сайтка туташтырууну сунуштайт, бирок, тилекке каршы, туташуу үчүн бардык шилтемелер иштебейт. Бул домендик аталыш бир гана IP дарегин чечет - 1. Ал, өз кезегинде, ушул IP дарегин чечүүчү 190.115.19.74 уникалдуу домендик аталыштарга ээ, анын ичинде:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- жана башка
Көрүнүп тургандай, Passive DNS изилденип жаткан ресурс жөнүндө маалыматтарды тез жана натыйжалуу чогултууга жана ал тургай жеке маалыматтарды уурдоонун бүт схемасын, анын түшкөнүнөн баштап болжолдуу сатуу жерине чейин ачууга мүмкүндүк берген манжа изинин бир түрүн түзүүгө мүмкүндүк берет.
Сүрөт 7. Изилдеп жаткан системанын картасы
Баары биз каалагандай кызгылт эмес. Мисалы, мындай иликтөөлөр CloudFlare же ушул сыяктуу кызматтарда оңой эле ишке ашпай калышы мүмкүн. Ал эми чогултулган маалымат базасынын эффективдүүлүгү Passive DNS маалыматтарын чогултуу модулу аркылуу өткөн DNS суроо-талаптарынын санына көз каранды. Бирок, ошентсе да, Passive DNS изилдөөчү үчүн кошумча маалымат булагы болуп саналат.
Автор: Урал коопсуздук системалары борборунун адиси
Source: www.habr.com