Domenų vardų sistema (DNS) yra tarsi telefonų knyga, kuri patogius vardus, pvz., „ussc.ru“, paverčia IP adresais. Kadangi DNS veikla yra beveik visose ryšio sesijose, nepriklausomai nuo protokolo. Taigi DNS registravimas yra vertingas duomenų šaltinis informacijos saugumo specialistams, leidžiantis aptikti anomalijas ar gauti papildomų duomenų apie tiriamą sistemą.
2004 m. Florianas Weimeris pasiūlė registravimo metodą, vadinamą pasyviuoju DNS, kuris leidžia atkurti DNS duomenų pakeitimų istoriją su galimybe indeksuoti ir ieškoti, kuri gali suteikti prieigą prie šių duomenų:
- Domeno vardas
- Prašomo domeno vardo IP adresas
- Atsakymo data ir laikas
- Atsakymo tipas
- ir tt
Pasyviojo DNS duomenys renkami iš rekursinių DNS serverių naudojant integruotus modulius arba perimant atsakymus iš DNS serverių, atsakingų už zoną.
1 pav. Pasyvus DNS (paimtas iš svetainės )
Pasyviojo DNS ypatybė yra ta, kad nereikia registruoti kliento IP adreso, o tai padeda apsaugoti vartotojo privatumą.
Šiuo metu yra daug paslaugų, kurios suteikia prieigą prie pasyviųjų DNS duomenų:
įmonė
„Farsight Security“.
Virustotal
Riskiq
„SafeDNS“
SecurityTrails
Cisco
Prieiga
Pageidaujant
Nereikalauja registracijos
Registracija nemokama
Pageidaujant
Nereikalauja registracijos
Pageidaujant
API
Pateikti
Pateikti
Pateikti
Pateikti
Pateikti
Pateikti
Kliento prieinamumas
Pateikti
Pateikti
Pateikti
Nė vienas
Nė vienas
Nė vienas
Duomenų rinkimo pradžia
2010 metų
2013 metų
2009 metų
Rodo tik paskutinius 3 mėnesius
2008 metų
2006 metų
1 lentelė. Paslaugos, turinčios prieigą prie pasyviųjų DNS duomenų
Naudokite pasyviojo DNS atvejus
Naudodami pasyvųjį DNS galite sukurti ryšius tarp domenų vardų, NS serverių ir IP adresų. Tai leidžia kurti tiriamų sistemų žemėlapius ir stebėti tokio žemėlapio pokyčius nuo pirmojo atradimo iki dabartinės akimirkos.
Pasyvus DNS taip pat leidžia lengviau aptikti srauto anomalijas. Pavyzdžiui, NS zonų pokyčių ir A bei AAAA tipo įrašų stebėjimas leidžia identifikuoti kenkėjiškas svetaines, kurios naudoja greito srauto metodą, skirtą paslėpti C&C nuo aptikimo ir blokavimo. Kadangi teisėti domenų vardai (išskyrus tuos, kurie naudojami apkrovos balansavimui) dažnai nekeis savo IP adresų, o dauguma teisėtų zonų retai keičia savo NS serverius.
Pasyvus DNS, priešingai nei tiesioginė subdomenų paieška naudojant žodynus, leidžia rasti net ir pačius egzotiškiausius domenų pavadinimus, pavyzdžiui, „222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru“. Taip pat kartais galite rasti bandomąsias (ir pažeidžiamas) svetainės sritis, kūrėjų medžiagą ir kt.
Nuorodos iš el. pašto tyrimas naudojant pasyvų DNS
Šiuo metu šlamštas yra vienas iš pagrindinių būdų, kuriais užpuolikas įsiskverbia į aukos kompiuterį arba pavagia konfidencialią informaciją. Pabandykime išnagrinėti nuorodą iš tokio laiško naudodami pasyvųjį DNS, kad įvertintume šio metodo efektyvumą.
2 pav. Spam el
Šio laiško nuoroda nuvedė į svetainę magnit-boss.rocks, kuri pasiūlė automatiškai rinkti premijas ir gauti pinigų:
3 pav. Puslapis priglobtas domene magnit-boss.rocks
Norėdami ištirti šią svetainę, aš naudojau , kuriame jau yra 3 paruošti klientai , и .
Pirmiausia išsiaiškinsime visą šio domeno vardo istoriją, tam naudosime komandą:
pt-client pdns – užklausa magnet-boss.rocks
Ši komanda parodys informaciją apie visus DNS sprendimus, susijusius su šiuo domeno pavadinimu.
4 pav. Atsakymas iš Riskiq API
Perkelkime atsakymą iš API į vaizdesnę formą:
5 pav. Visi įrašai iš atsakymo
Tolimesniems tyrimams paėmėme IP adresus, kuriais šis domeno vardas buvo išspręstas tuo metu, kai buvo gautas 01.08.2019-92.119.113.112-85.143.219.65 laiškas, tokie IP adresai yra šie adresai XNUMX ir XNUMX.
Naudojant komandą:
pt-client pdns --query
galite gauti visus domenų vardus, kurie yra susieti su šiais IP adresais.
IP adresas 92.119.113.112 turi 42 unikalius domenų vardus, kurie išsprendžia šį IP adresą, tarp kurių yra šie vardai:
- magnetas-bosas.klubas
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- ir tt
IP adresas 85.143.219.65 turi 44 unikalius domenų vardus, kurie išsprendžia šį IP adresą, tarp kurių yra šie vardai:
- cvv2.name (kreditinės kortelės duomenų pardavimo svetainė)
- emaills.world
- www.mailru.space
- ir tt
Ryšiai su šiais domenų vardais rodo sukčiavimą, bet mes tikime gerais žmonėmis, todėl pabandykime gauti 332 501.72 rublių premiją? Paspaudus mygtuką „TAIP“, svetainė paprašo pervesti 300 rublių iš kortelės, kad atrakintume sąskaitą, ir siunčia mus į svetainę as-torpay.info, kad įvestume duomenis.
6 pav. Svetainės ac-pay2day.net pagrindinis puslapis
Atrodo kaip legali svetainė, yra https sertifikatas, o pagrindiniame puslapyje siūloma prijungti šią mokėjimo sistemą prie jūsų svetainės, bet, deja, visos nuorodos prisijungti neveikia. Šis domeno vardas yra tik 1 IP adresas – 190.115.19.74. Savo ruožtu jame yra 1475 unikalūs domenų vardai, kurie išsprendžia šį IP adresą, įskaitant tokius pavadinimus kaip:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- ir tt
Kaip matome, pasyvus DNS leidžia greitai ir efektyviai rinkti duomenis apie tiriamą išteklį ir netgi sukurti savotišką pirštų atspaudą, leidžiantį atskleisti visą asmens duomenų vagystės schemą nuo jų gavimo iki galimos pardavimo vietos.
7 pav. Tiriamos sistemos žemėlapis
Ne viskas taip rožiškai, kaip norėtume. Pavyzdžiui, tokie tyrimai gali lengvai žlugti naudojant „CloudFlare“ ar panašias paslaugas. O surinktos duomenų bazės efektyvumas labai priklauso nuo DNS užklausų, praeinančių per pasyviųjų DNS duomenų rinkimo modulį, skaičiaus. Tačiau, nepaisant to, pasyvusis DNS yra papildomos informacijos šaltinis tyrėjui.
Autorius: Uralo apsaugos sistemų centro specialistas
Šaltinis: www.habr.com