Домэйн нэрийн систем (DNS) нь "ussc.ru" гэх мэт хэрэглэгчдэд ээлтэй нэрийг IP хаяг руу хөрвүүлдэг утасны номтой адил юм. DNS үйл ажиллагаа нь протоколоос үл хамааран бараг бүх харилцааны сессүүдэд байдаг. Тиймээс DNS бүртгэл нь мэдээллийн аюулгүй байдлын мэргэжилтнүүдэд гажиг илрүүлэх, судалж буй системийн талаар нэмэлт мэдээлэл авах боломжийг олгодог үнэ цэнэтэй мэдээллийн эх сурвалж юм.
2004 онд Флориан Веймер идэвхгүй DNS нэртэй бүртгэл хөтлөх аргыг санал болгосон бөгөөд энэ нь DNS өгөгдлийн өөрчлөлтийн түүхийг индексжүүлэх, хайх чадвараар сэргээх боломжийг олгодог бөгөөд энэ нь дараах өгөгдөлд хандах боломжийг олгоно.
- Домэйн нэр
- Хүссэн домэйн нэрний IP хаяг
- Хариу өгөх огноо, цаг
- Хариултын төрөл
- гэх мэт.
Идэвхгүй DNS-ийн өгөгдлийг рекурсив DNS серверүүдээс суулгасан модулиуд эсвэл бүсийг хариуцдаг DNS серверүүдийн хариултыг таслан авах замаар цуглуулдаг.
Зураг 1. Идэвхгүй DNS (сайтаас авсан )
Passive DNS-ийн онцлог нь үйлчлүүлэгчийн IP хаягийг бүртгэх шаардлагагүй бөгөөд энэ нь хэрэглэгчийн нууцлалыг хамгаалахад тусалдаг.
Одоогийн байдлаар идэвхгүй DNS өгөгдөлд хандах боломжийг олгодог олон үйлчилгээ байдаг.
Фирм
Алсын харааны аюулгүй байдал
VirusTotal
Эрсдэл
SafeDNS
Хамгаалалтын замууд
Cisco
Хандалт
Хүсэлтээр
Бүртгүүлэх шаардлагагүй
Бүртгэл үнэ төлбөргүй
Хүсэлтээр
Бүртгүүлэх шаардлагагүй
Хүсэлтээр
API
Одоогийн
Одоогийн
Одоогийн
Одоогийн
Одоогийн
Одоогийн
Үйлчлүүлэгчийн хүртээмж
Одоогийн
Одоогийн
Одоогийн
Ямар ч
Ямар ч
Ямар ч
Мэдээлэл цуглуулах эхлэл
2010 жил
2013 жил
2009 жил
Зөвхөн сүүлийн 3 сарыг харуулна
2008 жил
2006 жил
Хүснэгт 1. Passive DNS өгөгдөлд хандах үйлчилгээ
Идэвхгүй DNS-д зориулсан тохиолдлуудыг ашиглах
Passive DNS-ийг ашигласнаар та домэйн нэр, NS сервер болон IP хаягуудын хооронд холболт үүсгэж болно. Энэ нь судалж буй системүүдийн газрын зургийг бүтээх, анхны нээлтээс эхлээд одоогийн цаг хүртэлх газрын зураг дээрх өөрчлөлтийг хянах боломжийг олгоно.
Идэвхгүй DNS нь замын хөдөлгөөний гажигийг илрүүлэхэд хялбар болгодог. Жишээлбэл, NS бүсийн өөрчлөлт, А ба AAAA төрлийн бүртгэлийг хянах нь C&C-ийг илрүүлэх, хаахаас нуух зорилготой хурдан урсгалын аргыг ашигладаг хортой сайтуудыг тодорхойлох боломжийг олгодог. Учир нь хууль ёсны домэйн нэрүүд (ачааллыг тэнцвэржүүлэхэд ашигладаг нэрсээс бусад) IP хаягаа байнга өөрчлөхгүй бөгөөд ихэнх хууль ёсны бүсүүд NS серверээ өөрчлөх нь ховор байдаг.
Идэвхгүй DNS нь толь бичгийг ашиглан дэд домайныг шууд хайхаас ялгаатай нь "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru" гэх мэт хамгийн чамин домэйн нэрийг олох боломжийг олгодог. Энэ нь заримдаа вэбсайтын туршилтын (болон эмзэг) хэсгүүд, хөгжүүлэгчийн материал гэх мэтийг олох боломжийг олгодог.
Passive DNS ашиглан имэйлийн холбоосыг судалж байна
Одоогоор спам нь халдагчид хохирогчийн компьютерт нэвтэрч, нууц мэдээллийг хулгайлах гол арга замуудын нэг юм. Энэ аргын үр нөлөөг үнэлэхийн тулд Passive DNS ашиглан ийм захидлын холбоосыг шалгаж үзье.
Зураг 2. Спам имэйл
Энэхүү захидлын линк нь magnit-boss.rocks сайт руу хөтөлж, автоматаар урамшуулал цуглуулж, мөнгө хүлээн авахыг санал болгосон.
Зураг 3. magnit-boss.rocks домэйн дээр байрлуулсан хуудас
Энэ сайтыг судлахын тулд би ашигласан , аль хэдийн 3 бэлэн үйлчлүүлэгчтэй болсон , и .
Юуны өмнө бид энэ домэйн нэрний түүхийг бүхэлд нь олж мэдэх болно, үүний тулд бид дараах тушаалыг ашиглана.
pt-client pdns —query magnet-boss.rocks
Энэ тушаал нь энэ домэйн нэртэй холбоотой бүх DNS шийдлүүдийн талаарх мэдээллийг харуулах болно.
Зураг 4. Riskiq API-ийн хариулт
API-ийн хариултыг илүү харааны хэлбэрт оруулъя:
Зураг 5. Хариултын бүх оруулгууд
Цаашид судалгаа хийхийн тулд бид 01.08.2019 оны 92.119.113.112-р сарын 85.143.219.65-ний өдөр захидал хүлээн авах үед энэ домэйн нэрээр шийдэгдсэн IP хаягуудыг авсан бөгөөд ийм IP хаягууд нь дараах хаягууд XNUMX болон XNUMX юм.
Командыг ашиглан:
pt-client pdns --query
Та эдгээр IP хаягуудтай холбоотой бүх домэйн нэрийг авах боломжтой.
92.119.113.112 IP хаяг нь энэ IP хаягийг шийддэг 42 өвөрмөц домэйн нэртэй бөгөөд үүнд дараах нэрс багтана.
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- болон бусад
85.143.219.65 IP хаяг нь энэ IP хаягийг шийддэг 44 өвөрмөц домэйн нэртэй бөгөөд үүнд дараах нэрс багтана.
- cvv2.name (зээлийн картын мэдээлэл зарах сайт)
- emaills.world
- www.mailru.space
- болон бусад
Эдгээр домэйн нэртэй холболтууд нь фишинг хийхийг санал болгож байна, гэхдээ бид сайн хүмүүст итгэдэг, тиймээс 332 рублийн урамшуулал авахыг хичээцгээе? "ТИЙМ" товчийг дарсны дараа сайт биднээс дансны түгжээг тайлахын тулд картнаас 501.72 рубль шилжүүлэхийг хүсч, өгөгдөл оруулахын тулд биднийг as-torpay.info сайт руу илгээдэг.
Зураг 6. ac-pay2day.net сайтын нүүр хуудас
Энэ нь хууль ёсны сайт шиг харагдаж байна, https гэрчилгээ байгаа бөгөөд үндсэн хуудас нь энэ төлбөрийн системийг таны сайт руу холбохыг санал болгодог боловч харамсалтай нь холбогдох бүх холбоосууд ажиллахгүй байна. Энэ домэйн нэр нь зөвхөн 1 IP хаягаар шийдэгддэг - 190.115.19.74. Энэ нь эргээд энэ IP хаягийг шийддэг 1475 өвөрмөц домэйн нэртэй бөгөөд үүнд:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- болон бусад
Бидний харж байгаагаар Passive DNS нь судалж буй нөөцийн талаархи мэдээллийг хурдан бөгөөд үр дүнтэй цуглуулах, тэр ч байтугай хувийн мэдээллийг хулгайлах бүх схемийг олж авах боломжийг олгодог хурууны хээг бүтээх боломжийг олгодог.
Зураг 7. Судалж буй системийн газрын зураг
Бүх зүйл бидний хүссэн шиг ягаан биш. Жишээлбэл, ийм судалгаа нь CloudFlare эсвэл ижил төстэй үйлчилгээнүүдэд амархан бүтэлгүйтдэг. Цуглуулсан мэдээллийн сангийн үр нөлөө нь идэвхгүй DNS өгөгдлийг цуглуулах модулийг дамжуулж буй DNS хүсэлтийн тооноос ихээхэн хамаардаг. Гэсэн хэдий ч идэвхгүй DNS нь судлаачдад нэмэлт мэдээллийн эх сурвалж болдог.
Зохиогч: Уралын хамгаалалтын системийн төвийн мэргэжилтэн
Эх сурвалж: www.habr.com