🥇Pasīvā DNS analītiķa rokās

Domēna vārdu sistēma (DNS) ir kā tālruņu grāmata, kas pārvērš lietotājam draudzīgus nosaukumus, piemēram, "ussc.ru" IP adresēs. Tā kā DNS darbība ir sastopama gandrīz visās saziņas sesijās neatkarīgi no protokola. Tādējādi DNS reģistrēšana ir vērtīgs datu avots informācijas drošības speciālistiem, kas ļauj atklāt anomālijas vai iegūt papildu datus par pētāmo sistēmu.

2004. gadā Florians Veimers ierosināja reģistrēšanas metodi ar nosaukumu Passive DNS, kas ļauj atjaunot DNS datu izmaiņu vēsturi ar iespēju indeksēt un meklēt, kas var nodrošināt piekļuvi šādiem datiem:

Domēna vārds
Pieprasītā domēna vārda IP adrese
Atbildes datums un laiks
Atbildes veids
uc

Pasīvā DNS dati tiek savākti no rekursīvajiem DNS serveriem, izmantojot iebūvētos moduļus vai pārtverot atbildes no DNS serveriem, kas ir atbildīgi par zonu.

1. attēls. Pasīvais DNS (ņemts no vietnes Ctovision.com)

Pasīvā DNS iezīme ir tāda, ka nav jāreģistrē klienta IP adrese, kas palīdz aizsargāt lietotāja privātumu.

Pašlaik ir daudz pakalpojumu, kas nodrošina piekļuvi pasīvajiem DNS datiem:

DNSDB
VirusTotal
PasīvāKopā
Astoņkājis
SecurityTrails
Lietussargs Izmeklēt

kompānija
Farsight drošība
VirusTotal
Riskiq
SafeDNS
SecurityTrails
Cisco

Piekļuve
Pēc pieprasījuma
Nav nepieciešama reģistrācija
Reģistrācija ir bezmaksas
Pēc pieprasījuma
Nav nepieciešama reģistrācija
Pēc pieprasījuma

API
Klāt
Klāt
Klāt
Klāt
Klāt
Klāt

Klienta pieejamība
Klāt
Klāt
Klāt
Neviens
Neviens
Neviens

Datu vākšanas sākums
2010 gadā
2013 gadā
2009 gadā
Tiek rādīti tikai pēdējie 3 mēneši
2008 gadā
2006 gadā

1. tabula. Pakalpojumi ar piekļuvi pasīvajiem DNS datiem

Pasīvā DNS izmantošanas gadījumi

Izmantojot pasīvo DNS, varat izveidot savienojumus starp domēnu nosaukumiem, NS serveriem un IP adresēm. Tas ļauj jums izveidot pētāmo sistēmu kartes un izsekot izmaiņām šādā kartē no pirmā atklājuma līdz pašreizējam brīdim.

Pasīvā DNS arī atvieglo trafika anomāliju noteikšanu. Piemēram, izsekojot izmaiņas NS zonās un A un AAAA tipa ierakstos, varat identificēt ļaunprātīgas vietnes, kas izmanto ātrās plūsmas metodi, kas paredzēta, lai slēptu C&C no noteikšanas un bloķēšanas. Jo likumīgi domēna nosaukumi (izņemot tos, kas tiek izmantoti slodzes līdzsvarošanai) bieži nemainīs savas IP adreses, un lielākā daļa likumīgo zonu reti maina savus NS serverus.

Pasīvā DNS, atšķirībā no tiešās apakšdomēnu meklēšanas, izmantojot vārdnīcas, ļauj atrast pat eksotiskākos domēna nosaukumus, piemēram, “222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. Dažreiz tas arī ļauj atrast vietnes testēšanas (un neaizsargātās) zonas, izstrādātāju materiālus utt.

E-pasta saites izpēte, izmantojot pasīvo DNS

Pašlaik surogātpasts ir viens no galvenajiem veidiem, kā uzbrucējs iekļūst upura datorā vai nozog konfidenciālu informāciju. Mēģināsim izpētīt saiti no šādas vēstules, izmantojot pasīvo DNS, lai novērtētu šīs metodes efektivitāti.

2. attēls. Surogātpasta e-pasts

Saite no šīs vēstules veda uz vietni magnit-boss.rocks, kas piedāvāja automātiski iekasēt bonusus un saņemt naudu:

3. attēls. Lapa, kas mitināta domēnā magnit-boss.rocks

Lai izpētītu šo vietni, es izmantoju API Riskiq, kurā jau ir 3 gatavi klienti Pitons, rubīns и Rūsa.

Pirmkārt, mēs uzzināsim visu šī domēna vārda vēsturi, šim nolūkam izmantosim komandu:

pt-client pdns — vaicājums magnet-boss.rocks

Šī komanda parādīs informāciju par visiem DNS atrisinājumiem, kas saistīti ar šo domēna nosaukumu.

4. attēls. Riskiq API atbilde

Ievietosim atbildi no API vizuālākā formā:

5. attēls. Visi ieraksti no atbildes

Tālākai izpētei mēs paņēmām IP adreses, uz kurām šis domēna vārds atrisinājās vēstules saņemšanas brīdī 01.08.2019. Šādas IP adreses ir šādas adreses 92.119.113.112 un 85.143.219.65.

Izmantojot komandu:

pt-client pdns --query

jūs varat iegūt visus domēna nosaukumus, kas ir saistīti ar šīm IP adresēm.
IP adresei 92.119.113.112 ir 42 unikāli domēna nosaukumi, kas tiek veidoti līdz šai IP adresei, tostarp šādi nosaukumi:

magnēts-boss.klubs
igrovie-avtomaty.me
pro-x-audit.xyz
zep3-www.xyz
et al

IP adresei 85.143.219.65 ir 44 unikāli domēna nosaukumi, kas tiek veidoti līdz šai IP adresei, tostarp šādi nosaukumi:

cvv2.name (vietne kredītkaršu datu pārdošanai)
emaills.world
www.mailru.space
et al

Savienojumi ar šiem domēna vārdiem liecina par pikšķerēšanu, taču mēs ticam labiem cilvēkiem, tāpēc mēģināsim iegūt 332 501.72 rubļu prēmiju? Pēc noklikšķināšanas uz pogas “JĀ”, vietne lūdz mums pārskaitīt 300 rubļus no kartes, lai atbloķētu kontu, un nosūta mūs uz vietni as-torpay.info, lai ievadītu datus.

6. attēls. Vietnes ac-pay2day.net mājas lapa

Izskatās pēc legālas vietnes, ir https sertifikāts, un galvenā lapa piedāvā pieslēgt šo maksājumu sistēmu jūsu vietnei, bet diemžēl visas saites, lai izveidotu savienojumu, nedarbojas. Šis domēna nosaukums ir tikai 1 IP adrese — 190.115.19.74. Tajā, savukārt, ir 1475 unikāli domēna nosaukumi, kas atbilst šai IP adresei, tostarp tādi vārdi kā:

ac-pay2day.net
ac-payfit.com
as-manypay.com
fletkass.net
as-magicpay.com
et al

Kā redzam, pasīvā DNS ļauj ātri un efektīvi apkopot datus par pētāmo resursu un pat izveidot sava veida pirkstu nospiedumus, kas ļauj atklāt veselu shēmu personas datu nozagšanai, sākot no to saņemšanas līdz iespējamai pārdošanas vietai.

7. attēls. Pētāmās sistēmas karte

Ne viss ir tik rožaini, kā mēs vēlētos. Piemēram, šādas izmeklēšanas var viegli neizdoties CloudFlare vai līdzīgos pakalpojumos. Un savāktās datu bāzes efektivitāte lielā mērā ir atkarīga no DNS pieprasījumu skaita, kas iet caur moduli pasīvo DNS datu vākšanai. Tomēr pasīvais DNS ir papildu informācijas avots pētniekam.

Autors: Urālu drošības sistēmu centra speciālists

Avots: www.habr.com

Pasīvā DNS analītiķa rokās

Pasīvā DNS izmantošanas gadījumi

E-pasta saites izpēte, izmantojot pasīvo DNS

Pievieno komentāru Atcelt atbildi