Den Domain Name System (DNS) ass wéi en Telefonbuch dat Benotzerfrëndlech Nimm wéi "ussc.ru" an IP Adressen iwwersetzt. Zënter DNS Aktivitéit ass präsent a bal all Kommunikatiounssitzungen, onofhängeg vum Protokoll. Also ass DNS Logging eng wäertvoll Informatiounsquell fir Informatiounssécherheetsspezialisten, wat hinnen erlaabt Anomalien z'entdecken oder zousätzlech Donnéeën iwwer de System ze studéieren.
Am Joer 2004 huet de Florian Weimer eng Protokolléierungsmethod genannt Passive DNS proposéiert, déi Iech erlaabt d'Geschicht vun den DNS-Datenännerunge mat der Fäegkeet ze indexéieren an ze sichen, déi Zougang zu den folgenden Donnéeën ubidden:
- Domain Numm
- IP Adress vum ugefrote Domain Numm
- Datum an Zäit vun Äntwert
- Äntwert Typ
- an esou weider.
Daten fir Passiv DNS gi vu rekursiven DNS-Server gesammelt duerch agebaute Moduler oder andeems Äntwerte vun DNS-Server verantwortlech fir d'Zone offangen.
Figur 1. Passiv DNS (vun de Site geholl )
Eng Feature vu Passiv DNS ass datt et net néideg ass d'IP Adress vum Client z'registréieren, wat hëlleft d'Privatsphär vum Benotzer ze schützen.
Am Moment ginn et vill Servicer déi Zougang zu Passiv DNS Daten ubidden:
D 'Firma
Farsight Sécherheet
VirusTotal
Risk
SafeDNS
Sécherheet Trails
Cisco
Zougang
Op Ufro
Erfuerdert keng Aschreiwung
Aschreiwung ass gratis
Op Ufro
Erfuerdert keng Aschreiwung
Op Ufro
API
Presentéieren
Presentéieren
Presentéieren
Presentéieren
Presentéieren
Presentéieren
Disponibilitéit vun engem Client
Presentéieren
Presentéieren
Presentéieren
Nee
Nee
Nee
Start vun Datensammlung
2010 Joer
2013 Joer
2009 Joer
Weist nëmmen déi lescht 3 Méint
2008 Joer
2006 Joer
Dësch 1. Servicer mat Zougang zu Passiv DNS Daten
Benotzt Cases fir Passiv DNS
Mat Passiv DNS kënnt Dir Verbindungen tëscht Domain Nimm, NS Server an IP Adressen bauen. Dëst erlaabt Iech Kaarte vun de Systemer ze studéieren an ze verfollegen Ännerungen an esou enger Kaart vun der éischter Entdeckung bis zum aktuellen Moment.
Passiv DNS mécht et och méi einfach Traffic Anomalien z'entdecken. Zum Beispill, Tracking Ännerungen an NS Zonen an records vun Typ A an AAAA erlaabt Iech béiswëlleg Siten z'identifizéieren, datt d'séier Flux Method benotzen, entworf C & C aus Detektioun a Spär ze verstoppen. Well legitim Domain Nimm (ausser déi fir Laaschtbalancéierung benotzt) wäerten hir IP Adressen net dacks änneren, an déi meescht legitim Zonen änneren seelen hir NS Serveren.
Passiv DNS, am Géigesaz zu der direkter Sich vun Subdomains mat Dictionnairen, erlaabt Iech och déi exotesch Domainnamen ze fannen, zum Beispill "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Et erlaabt Iech och heiansdo Testen (a vulnérabel) Beräicher vun der Websäit, Entwécklermaterial, etc.
Fuerschung vun engem Link vun enger E-Mail mat Passiv DNS
De Moment ass Spam ee vun den Haapt Weeër duerch déi en Ugräifer de Computer vun engem Affer penetréiert oder vertraulech Informatioun klaut. Loosst eis probéieren de Link vun esou engem Bréif mat Passiv DNS z'ënnersichen fir d'Effizienz vun dëser Method ze evaluéieren.
Figur 2. Spam Email
De Link aus dësem Bréif huet op de Site magnit-boss.rocks gefouert, deen ugebueden huet fir automatesch Bonusen ze sammelen a Suen ze kréien:
Figur 3. Säit gehost op der Domain magnit-boss.rocks
Fir dëse Site ze studéieren, hunn ech benotzt , déi schonn 3 fäerdeg Clienten op huet , и .
Als éischt wäerte mir d'ganz Geschicht vun dësem Domain Numm erausfannen, dofir benotze mir de Kommando:
pt-client pdns —Query magnet-boss.rocks
Dëse Kommando weist Informatioun iwwer all DNS-Resolutioun mat dësem Domain Numm.
Figur 4. Äntwert vun Riskiq API
Loosst eis d'Äntwert vun der API an eng méi visuell Form setzen:
Figur 5. All Entréen aus der Äntwert
Fir weider Fuerschung hu mir d'IP Adressen geholl, op déi dësen Domain Numm geléist gouf an der Zäit wou de Bréif den 01.08.2019/92.119.113.112/85.143.219.65 kritt gouf, sou IP Adressen sinn déi folgend Adressen XNUMX an XNUMX.
Benotzt de Kommando:
pt-client pdns --query
Dir kënnt all Domain Nimm kréien, déi mat dësen IP Adressen verbonne sinn.
D'IP Adress 92.119.113.112 huet 42 eenzegaarteg Domain Nimm déi op dës IP Adress léisen, dorënner déi folgend Nimm:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- an anerer
D'IP Adress 85.143.219.65 huet 44 eenzegaarteg Domain Nimm déi op dës IP Adress léisen, dorënner déi folgend Nimm:
- cvv2.name (Site fir Kreditkartendaten ze verkafen)
- emaills.world
- www.mailru.space
- an anerer
Verbindunge mat dësen Domain Nimm proposéiere Phishing, awer mir gleewen un gutt Leit, also loosst eis probéieren e Bonus vun 332 Rubel ze kréien? Nodeems Dir op de "JO" Knäppchen klickt, freet de Site eis 501.72 Rubel vun der Kaart ze transferéieren fir de Kont opzemaachen a schéckt eis op de Site as-torpay.info fir Daten anzeginn.
Figur 6. Home Säit vum Site ac-pay2day.net
Et gesäit aus wéi e legale Site, et gëtt en https Zertifikat, an d'Haaptsäit bitt fir dëse Bezuelsystem mat Ärem Site ze verbannen, awer, leider, all d'Links fir ze verbannen funktionnéieren net. Dësen Domain Numm léist nëmmen op 1 IP Adress - 190.115.19.74. Et, am Tour, huet 1475 eenzegaarteg Domain Nimm déi op dës IP Adress léisen, dorënner sou Nimm wéi:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- an anerer
Wéi mir kënne gesinn, erlaabt Passiv DNS Iech séier an effizient Daten iwwer d'Ressource ze sammelen an och eng Art Fangerofdrock ze bauen, déi Iech erlaabt e ganze Schema fir perséinlech Donnéeën ze klauen, vu senger Empfang bis zur méiglecher Plaz vum Verkaf.
Figur 7. Kaart vum System ënner Studie
Net alles ass sou roseg wéi mir wëllen. Zum Beispill kënnen esou Ermëttlungen einfach op CloudFlare oder ähnlechen Servicer versoen. An d'Effizienz vun der gesammelten Datebank hänkt staark vun der Unzuel vun DNS-Ufroen of, déi duerch de Modul passéieren fir Passiv DNS-Daten ze sammelen. Awer trotzdem ass Passiv DNS eng Quell vun zousätzlech Informatioun fir de Fuerscher.
Auteur: Spezialist vum Ural Center fir Sécherheetssystemer
Source: will.com