DomÄna vÄrdu sistÄma (DNS) ir kÄ tÄlruÅu grÄmata, kas pÄrvÄrÅ” lietotÄjam draudzÄ«gus nosaukumus, piemÄram, "ussc.ru" IP adresÄs. TÄ kÄ DNS darbÄ«ba ir sastopama gandrÄ«z visÄs saziÅas sesijÄs neatkarÄ«gi no protokola. TÄdÄjÄdi DNS reÄ£istrÄÅ”ana ir vÄrtÄ«gs datu avots informÄcijas droŔības speciÄlistiem, kas ļauj atklÄt anomÄlijas vai iegÅ«t papildu datus par pÄtÄmo sistÄmu.
2004. gadÄ Florians Veimers ierosinÄja reÄ£istrÄÅ”anas metodi ar nosaukumu Passive DNS, kas ļauj atjaunot DNS datu izmaiÅu vÄsturi ar iespÄju indeksÄt un meklÄt, kas var nodroÅ”inÄt piekļuvi Å”Ädiem datiem:
- DomÄna vÄrds
- PieprasÄ«tÄ domÄna vÄrda IP adrese
- Atbildes datums un laiks
- Atbildes veids
- uc
PasÄ«vÄ DNS dati tiek savÄkti no rekursÄ«vajiem DNS serveriem, izmantojot iebÅ«vÄtos moduļus vai pÄrtverot atbildes no DNS serveriem, kas ir atbildÄ«gi par zonu.
1. attÄls. PasÄ«vais DNS (Åemts no vietnes
PasÄ«vÄ DNS iezÄ«me ir tÄda, ka nav jÄreÄ£istrÄ klienta IP adrese, kas palÄ«dz aizsargÄt lietotÄja privÄtumu.
PaŔlaik ir daudz pakalpojumu, kas nodroŔina piekļuvi pasīvajiem DNS datiem:
kompÄnija
Farsight droŔība
VirusTotal
Riskiq
SafeDNS
SecurityTrails
Cisco
Piekļuve
PÄc pieprasÄ«juma
Nav nepiecieÅ”ama reÄ£istrÄcija
ReÄ£istrÄcija ir bezmaksas
PÄc pieprasÄ«juma
Nav nepiecieÅ”ama reÄ£istrÄcija
PÄc pieprasÄ«juma
API
KlÄt
KlÄt
KlÄt
KlÄt
KlÄt
KlÄt
Klienta pieejamība
KlÄt
KlÄt
KlÄt
Neviens
Neviens
Neviens
Datu vÄkÅ”anas sÄkums
2010 gadÄ
2013 gadÄ
2009 gadÄ
Tiek rÄdÄ«ti tikai pÄdÄjie 3 mÄneÅ”i
2008 gadÄ
2006 gadÄ
1. tabula. Pakalpojumi ar piekļuvi pasīvajiem DNS datiem
PasÄ«vÄ DNS izmantoÅ”anas gadÄ«jumi
Izmantojot pasÄ«vo DNS, varat izveidot savienojumus starp domÄnu nosaukumiem, NS serveriem un IP adresÄm. Tas ļauj jums izveidot pÄtÄmo sistÄmu kartes un izsekot izmaiÅÄm Å”ÄdÄ kartÄ no pirmÄ atklÄjuma lÄ«dz paÅ”reizÄjam brÄ«dim.
PasÄ«vÄ DNS arÄ« atvieglo trafika anomÄliju noteikÅ”anu. PiemÄram, izsekojot izmaiÅas NS zonÄs un A un AAAA tipa ierakstos, varat identificÄt ļaunprÄtÄ«gas vietnes, kas izmanto ÄtrÄs plÅ«smas metodi, kas paredzÄta, lai slÄptu C&C no noteikÅ”anas un bloÄ·ÄÅ”anas. Jo likumÄ«gi domÄna nosaukumi (izÅemot tos, kas tiek izmantoti slodzes lÄ«dzsvaroÅ”anai) bieži nemainÄ«s savas IP adreses, un lielÄkÄ daļa likumÄ«go zonu reti maina savus NS serverus.
PasÄ«vÄ DNS, atŔķirÄ«bÄ no tieÅ”Äs apakÅ”domÄnu meklÄÅ”anas, izmantojot vÄrdnÄ«cas, ļauj atrast pat eksotiskÄkos domÄna nosaukumus, piemÄram, ā222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ruā. Dažreiz tas arÄ« ļauj atrast vietnes testÄÅ”anas (un neaizsargÄtÄs) zonas, izstrÄdÄtÄju materiÄlus utt.
E-pasta saites izpÄte, izmantojot pasÄ«vo DNS
PaÅ”laik surogÄtpasts ir viens no galvenajiem veidiem, kÄ uzbrucÄjs iekļūst upura datorÄ vai nozog konfidenciÄlu informÄciju. MÄÄ£inÄsim izpÄtÄ«t saiti no Å”Ädas vÄstules, izmantojot pasÄ«vo DNS, lai novÄrtÄtu Ŕīs metodes efektivitÄti.
2. attÄls. SurogÄtpasta e-pasts
Saite no Ŕīs vÄstules veda uz vietni magnit-boss.rocks, kas piedÄvÄja automÄtiski iekasÄt bonusus un saÅemt naudu:
3. attÄls. Lapa, kas mitinÄta domÄnÄ magnit-boss.rocks
Lai izpÄtÄ«tu Å”o vietni, es izmantoju
PirmkÄrt, mÄs uzzinÄsim visu Ŕī domÄna vÄrda vÄsturi, Å”im nolÅ«kam izmantosim komandu:
pt-client pdns ā vaicÄjums magnet-boss.rocks
Å Ä« komanda parÄdÄ«s informÄciju par visiem DNS atrisinÄjumiem, kas saistÄ«ti ar Å”o domÄna nosaukumu.
4. attÄls. Riskiq API atbilde
Ievietosim atbildi no API vizuÄlÄkÄ formÄ:
5. attÄls. Visi ieraksti no atbildes
TÄlÄkai izpÄtei mÄs paÅÄmÄm IP adreses, uz kurÄm Å”is domÄna vÄrds atrisinÄjÄs vÄstules saÅemÅ”anas brÄ«dÄ« 01.08.2019. Å Ädas IP adreses ir Å”Ädas adreses 92.119.113.112 un 85.143.219.65.
Izmantojot komandu:
pt-client pdns --query
jÅ«s varat iegÅ«t visus domÄna nosaukumus, kas ir saistÄ«ti ar Ŕīm IP adresÄm.
IP adresei 92.119.113.112 ir 42 unikÄli domÄna nosaukumi, kas tiek veidoti lÄ«dz Å”ai IP adresei, tostarp Å”Ädi nosaukumi:
- magnÄts-boss.klubs
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- et al
IP adresei 85.143.219.65 ir 44 unikÄli domÄna nosaukumi, kas tiek veidoti lÄ«dz Å”ai IP adresei, tostarp Å”Ädi nosaukumi:
- cvv2.name (vietne kredÄ«tkarÅ”u datu pÄrdoÅ”anai)
- emaills.world
- www.mailru.space
- et al
Savienojumi ar Å”iem domÄna vÄrdiem liecina par pikŔķerÄÅ”anu, taÄu mÄs ticam labiem cilvÄkiem, tÄpÄc mÄÄ£inÄsim iegÅ«t 332 501.72 rubļu prÄmiju? PÄc noklikŔķinÄÅ”anas uz pogas āJÄā, vietne lÅ«dz mums pÄrskaitÄ«t 300 rubļus no kartes, lai atbloÄ·Ätu kontu, un nosÅ«ta mÅ«s uz vietni as-torpay.info, lai ievadÄ«tu datus.
6. attÄls. Vietnes ac-pay2day.net mÄjas lapa
IzskatÄs pÄc legÄlas vietnes, ir https sertifikÄts, un galvenÄ lapa piedÄvÄ pieslÄgt Å”o maksÄjumu sistÄmu jÅ«su vietnei, bet diemžÄl visas saites, lai izveidotu savienojumu, nedarbojas. Å is domÄna nosaukums ir tikai 1 IP adrese ā 190.115.19.74. TajÄ, savukÄrt, ir 1475 unikÄli domÄna nosaukumi, kas atbilst Å”ai IP adresei, tostarp tÄdi vÄrdi kÄ:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- et al
KÄ redzam, pasÄ«vÄ DNS ļauj Ätri un efektÄ«vi apkopot datus par pÄtÄmo resursu un pat izveidot sava veida pirkstu nospiedumus, kas ļauj atklÄt veselu shÄmu personas datu nozagÅ”anai, sÄkot no to saÅemÅ”anas lÄ«dz iespÄjamai pÄrdoÅ”anas vietai.
7. attÄls. PÄtÄmÄs sistÄmas karte
Ne viss ir tik rožaini, kÄ mÄs vÄlÄtos. PiemÄram, Å”Ädas izmeklÄÅ”anas var viegli neizdoties CloudFlare vai lÄ«dzÄ«gos pakalpojumos. Un savÄktÄs datu bÄzes efektivitÄte lielÄ mÄrÄ ir atkarÄ«ga no DNS pieprasÄ«jumu skaita, kas iet caur moduli pasÄ«vo DNS datu vÄkÅ”anai. TomÄr pasÄ«vais DNS ir papildu informÄcijas avots pÄtniekam.
Autors: UrÄlu droŔības sistÄmu centra speciÄlists
Avots: www.habr.com