Sistem Nama Domain (DNS) adalah seperti buku telefon yang menterjemahkan nama mesra pengguna seperti "ussc.ru" kepada alamat IP. Memandangkan aktiviti DNS hadir dalam hampir semua sesi komunikasi, tanpa mengira protokol. Oleh itu, pengelogan DNS ialah sumber data yang berharga untuk pakar keselamatan maklumat, membolehkan mereka mengesan anomali atau mendapatkan data tambahan tentang sistem yang sedang disiasat.
Pada tahun 2004, Florian Weimer mencadangkan kaedah pengelogan dipanggil DNS Pasif, yang membolehkan anda memulihkan sejarah perubahan data DNS dengan keupayaan untuk mengindeks dan mencari, yang boleh memberikan akses kepada data berikut:
- Nama domain
- Alamat IP nama domain yang diminta
- Tarikh dan masa maklum balas
- Jenis tindak balas
- dan lain-lain
Data untuk DNS Pasif dikumpul daripada pelayan DNS rekursif oleh modul terbina dalam atau dengan memintas respons daripada pelayan DNS yang bertanggungjawab untuk zon tersebut.
Rajah 1. DNS pasif (diambil dari tapak
Keistimewaan DNS Pasif ialah tidak perlu mendaftarkan alamat IP pelanggan, yang membantu melindungi privasi pengguna.
Pada masa ini, terdapat banyak perkhidmatan yang menyediakan akses kepada data DNS Pasif:
syarikat
Keselamatan Farsight
VirusTotal
Riskiq
SafeDNS
Laluan Keselamatan
Cisco
Akses
Atas permintaan
Tidak memerlukan pendaftaran
Pendaftaran adalah percuma
Atas permintaan
Tidak memerlukan pendaftaran
Atas permintaan
API
Hadir
Hadir
Hadir
Hadir
Hadir
Hadir
Kehadiran pelanggan
Hadir
Hadir
Hadir
Tiada
Tiada
Tiada
Permulaan pengumpulan data
Tahun 2010
Tahun 2013
Tahun 2009
Memaparkan hanya 3 bulan lepas
Tahun 2008
Tahun 2006
Jadual 1. Perkhidmatan dengan akses kepada data DNS Pasif
Gunakan kes untuk DNS Pasif
Menggunakan DNS Pasif, anda boleh membina hubungan antara nama domain, pelayan NS dan alamat IP. Ini membolehkan anda membina peta sistem yang sedang dikaji dan menjejaki perubahan dalam peta sedemikian dari penemuan pertama hingga saat semasa.
DNS pasif juga memudahkan untuk mengesan anomali dalam trafik. Contohnya, penjejakan perubahan dalam zon NS dan rekod jenis A dan AAAA membolehkan anda mengenal pasti tapak berniat jahat menggunakan kaedah fluks pantas, direka untuk menyembunyikan C&C daripada pengesanan dan penyekatan. Kerana nama domain yang sah (kecuali yang digunakan untuk pengimbangan beban) tidak akan menukar alamat IP mereka dengan kerap, dan kebanyakan zon yang sah jarang menukar pelayan NS mereka.
DNS pasif, berbeza dengan penghitungan terus subdomain menggunakan kamus, membolehkan anda mencari walaupun nama domain yang paling eksotik, contohnya, β222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ruβ. Ia juga kadangkala membolehkan anda mencari kawasan ujian (dan terdedah) tapak web, bahan pembangun, dsb.
Meneliti pautan daripada e-mel menggunakan DNS Pasif
Pada masa ini, spam ialah salah satu cara utama penyerang menembusi komputer mangsa atau mencuri maklumat sulit. Mari cuba periksa pautan daripada e-mel sedemikian menggunakan DNS Pasif untuk menilai keberkesanan kaedah ini.
Rajah 2. E-mel spam
Pautan dari surat ini membawa kepada tapak magnit-boss.rocks, yang menawarkan untuk mengumpul bonus secara automatik dan menerima wang:
Rajah 3. Halaman dihoskan pada domain magnit-boss.rocks
Untuk kajian laman web ini digunakan
Pertama sekali, kami akan mengetahui keseluruhan sejarah nama domain ini, untuk ini kami akan menggunakan arahan:
pt-client pdns --query magnit-boss.rocks
Perintah ini akan mengembalikan maklumat tentang semua resolusi DNS yang dikaitkan dengan nama domain ini.
Rajah 4. Maklum balas daripada API Riskiq
Mari kita bawa respons daripada API kepada bentuk yang lebih visual:
Rajah 5. Semua entri daripada respons
Untuk penyelidikan lanjut, kami mengambil alamat IP yang telah diselesaikan oleh nama domain ini pada masa surat itu diterima pada 01.08.2019/92.119.113.112/85.143.219.65, alamat IP tersebut ialah alamat berikut XNUMX dan XNUMX.
Menggunakan arahan:
pt-client pdns --query
anda boleh mendapatkan semua nama domain yang dikaitkan dengan alamat IP yang diberikan.
Alamat IP 92.119.113.112 mempunyai 42 nama domain unik yang telah diselesaikan ke alamat IP ini, antaranya ialah nama berikut:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- dan lain-lain
Alamat IP 85.143.219.65 mempunyai 44 nama domain unik yang telah diselesaikan ke alamat IP ini, antaranya ialah nama berikut:
- cvv2.name (tapak web untuk menjual butiran kad kredit)
- emaills.world
- www.mailru.space
- dan lain-lain
Sambungan dengan nama domain ini membawa kepada pancingan data, tetapi kami percaya pada orang yang baik hati, jadi mari cuba dapatkan bonus sebanyak 332 rubel? Selepas mengklik pada butang "YA", tapak meminta kami memindahkan 501.72 rubel dari kad untuk membuka kunci akaun dan menghantar kami ke tapak as-torpay.info untuk memasukkan data.
Rajah 6. Halaman utama tapak ac-pay2day.net
Ia kelihatan seperti tapak yang sah, terdapat sijil https, dan halaman utama menawarkan untuk menyambungkan sistem pembayaran ini ke tapak anda, tetapi, malangnya, semua pautan untuk menyambung tidak berfungsi. Nama domain ini diselesaikan kepada hanya 1 alamat ip - 190.115.19.74. Ia pula, mempunyai 1475 nama domain unik yang menyelesaikan alamat IP ini, termasuk nama seperti:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- dan lain-lain
Seperti yang kita dapat lihat, DNS Pasif membolehkan anda mengumpul data dengan cepat dan cekap tentang sumber yang sedang dikaji dan juga membina sejenis jejak yang membolehkan anda mendedahkan keseluruhan skim untuk mencuri data peribadi, daripada penerimaannya ke tempat jualan yang mungkin.
Rajah 7. Peta sistem yang dikaji
Tidak semuanya semerah seperti yang kita mahukan. Sebagai contoh, penyiasatan sedemikian boleh dengan mudah pecah pada CloudFlare atau perkhidmatan yang serupa. Dan keberkesanan pangkalan data yang dikumpul sangat bergantung pada bilangan permintaan DNS yang melalui modul untuk mengumpul data DNS Pasif. Namun begitu, DNS Pasif merupakan sumber maklumat tambahan untuk penyelidik.
Pengarang: Pakar Pusat Ural untuk Sistem Keselamatan
Sumber: www.habr.com