Is-Sistema tal-Ismijiet tad-Dominju (DNS) hija bħal ktieb tat-telefon li jittraduċi ismijiet faċli għall-utent bħal "ussc.ru" f'indirizzi IP. Peress li l-attività tad-DNS hija preżenti fi kważi s-sessjonijiet ta 'komunikazzjoni kollha, irrispettivament mill-protokoll. Għalhekk, l-illoggjar tad-DNS huwa sors prezzjuż ta 'dejta għall-ispeċjalisti tas-sigurtà tal-informazzjoni, li jippermettilhom jiskopru anomaliji jew jiksbu dejta addizzjonali dwar is-sistema taħt studju.
Fl-2004, Florian Weimer ippropona metodu ta 'logging imsejjaħ DNS Passiv, li jippermettilek tirrestawra l-istorja tal-bidliet fid-dejta tad-DNS bil-kapaċità li tindika u tfittex, li tista' tipprovdi aċċess għad-dejta li ġejja:
- Isem tad-dominju
- Indirizz IP tal-isem tad-dominju mitlub
- Data u ħin tar-rispons
- Tip ta' rispons
- eċċ
Id-dejta għal DNS Passiv tinġabar minn servers DNS rikorsivi permezz ta 'moduli built-in jew billi jiġu interċettati tweġibiet minn servers DNS responsabbli għaż-żona.
Figura 1. DNS passiv (meħud mis-sit )
Karatteristika tad-DNS Passiv hija li m'hemmx bżonn li tirreġistra l-indirizz IP tal-klijent, li jgħin biex jipproteġi l-privatezza tal-utent.
Bħalissa, hemm ħafna servizzi li jipprovdu aċċess għal data DNS Passiva:
kumpanija
Sigurtà Farsight
Virustotal
Riskiq
SafeDNS
Sigurtà Trails
Cisco
Aċċess
Fuq talba
Ma teħtieġx reġistrazzjoni
Ir-reġistrazzjoni hija b'xejn
Fuq talba
Ma teħtieġx reġistrazzjoni
Fuq talba
API
Rigal
Rigal
Rigal
Rigal
Rigal
Rigal
Disponibbiltà ta' klijent
Rigal
Rigal
Rigal
Xejn
Xejn
Xejn
Bidu tal-ġbir tad-dejta
Sena 2010
Sena 2013
Sena 2009
Juri biss l-aħħar 3 xhur
Sena 2008
Sena 2006
Tabella 1. Servizzi b'aċċess għal dejta DNS Passiva
Każijiet ta' Użu għal DNS Passiv
Billi tuża DNS Passiv tista' tibni konnessjonijiet bejn ismijiet ta' dominju, servers NS u indirizzi IP. Dan jippermettilek tibni mapep tas-sistemi li qed jiġu studjati u ssegwi l-bidliet f'mappa bħal din mill-ewwel skoperta sal-mument attwali.
DNS passiv jagħmilha aktar faċli biex jinstabu anomaliji tat-traffiku. Pereżempju, it-traċċar tal-bidliet fiż-żoni NS u r-rekords tat-tip A u AAAA jippermettilek tidentifika siti malizzjużi li jużaw il-metodu ta 'fluss mgħaġġel, iddisinjat biex jaħbi C&C mill-iskoperta u l-imblukkar. Minħabba li l-ismijiet tad-dominju leġittimi (ħlief dawk użati għall-ibbilanċjar tat-tagħbija) mhux se jbiddlu l-indirizzi IP tagħhom spiss, u l-biċċa l-kbira taż-żoni leġittimi rarament ibiddlu s-servers NS tagħhom.
DNS passiv, b'kuntrast ma 'tfittxija diretta ta' sottodominji li jużaw dizzjunarji, jippermettilek issib anke l-ismijiet ta 'dominju l-aktar eżotiċi, pereżempju "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Xi kultant jippermetti wkoll li ssib żoni tal-ittestjar (u vulnerabbli) tal-websajt, materjali tal-iżviluppatur, eċċ.
Ir-riċerka ta' link minn email billi tuża DNS Passiv
Bħalissa, l-ispam huwa wieħed mill-modi ewlenin li permezz tiegħu attakkant jippenetra l-kompjuter tal-vittma jew jisraq informazzjoni kunfidenzjali. Ejja nippruvaw neżaminaw il-link minn ittra bħal din billi tuża DNS Passiv biex tevalwa l-effettività ta 'dan il-metodu.
Figura 2. Spam email
Il-link minn din l-ittra wasslet għas-sit magnit-boss.rocks, li offra li jiġbor awtomatikament bonuses u jirċievi flus:
Figura 3. Paġna ospitata fuq id-dominju magnit-boss.rocks
Biex nistudja dan is-sit, użajt , li diġà għandha 3 klijenti lesti fuq , и .
L-ewwelnett, insibu l-istorja kollha ta 'dan l-isem tad-dominju, għal dan se nużaw il-kmand:
pt-client pdns —query magnet-boss.rocks
Dan il-kmand se juri informazzjoni dwar ir-riżoluzzjonijiet DNS kollha assoċjati ma 'dan l-isem tad-dominju.
Figura 4. Risposta minn Riskiq API
Ejja npoġġu r-rispons mill-API f'forma aktar viżwali:
Figura 5. L-entrati kollha mir-rispons
Għal aktar riċerka, ħadna l-indirizzi IP li għalihom dan l-isem tad-dominju ġie riżolt fiż-żmien li waslet l-ittra fit-01.08.2019/92.119.113.112/85.143.219.65, tali indirizzi IP huma l-indirizzi li ġejjin XNUMX u XNUMX.
Bl-użu tal-kmand:
pt-client pdns --query
tista 'tikseb l-ismijiet tad-dominju kollha li huma assoċjati ma' dawn l-indirizzi IP.
L-indirizz IP 92.119.113.112 għandu 42 isem tad-dominju uniku li jsolvu dan l-indirizz IP, fosthom l-ismijiet li ġejjin:
- kalamita-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- u oħrajn
L-indirizz IP 85.143.219.65 għandu 44 isem tad-dominju uniku li jsolvu dan l-indirizz IP, fosthom l-ismijiet li ġejjin:
- cvv2.name (sit għall-bejgħ tad-dejta tal-karta tal-kreditu)
- emaills.world
- www.mailru.space
- u oħrajn
Konnessjonijiet ma 'dawn l-ismijiet tad-dominju jissuġġerixxu phishing, iżda nemmnu f'nies tajbin, allura ejja nippruvaw niksbu bonus ta' 332 rubles? Wara li tikklikkja fuq il-buttuna "IVA", is-sit jitlobna nittrasferixxu 501.72 rublu mill-karta biex nisfruttaw il-kont u tibgħatilna fis-sit as-torpay.info biex nidħlu data.
Figura 6. Home page tas-sit ac-pay2day.net
Jidher qisu sit legali, hemm ċertifikat https, u l-paġna ewlenija toffri li tgħaqqad din is-sistema ta 'ħlas mas-sit tiegħek, iżda, sfortunatament, il-links kollha għall-konnessjoni ma jaħdmux. Dan l-isem tad-dominju jirrisolvi għal indirizz IP 1 biss - 190.115.19.74. Hija, min-naħa tagħha, għandha 1475 isem tad-dominju uniku li jsolvu dan l-indirizz IP, inklużi ismijiet bħal:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- u oħrajn
Kif nistgħu naraw, Passive DNS jippermettilek li tiġbor malajr u b'mod effiċjenti dejta dwar ir-riżorsa li qed tiġi studjata u anke tibni tip ta 'marki tas-swaba' li tippermettilek tikxef skema sħiħa għas-serq tad-dejta personali, mill-irċevuta tagħha sal-post probabbli tal-bejgħ.
Figura 7. Mappa tas-sistema li qed tiġi studjata
Mhux kollox hu lewn daqskemm nixtiequ. Pereżempju, investigazzjonijiet bħal dawn jistgħu faċilment ifallu fuq CloudFlare jew servizzi simili. U l-effettività tad-database miġbura tiddependi ħafna fuq in-numru ta 'talbiet DNS li jgħaddu mill-modulu għall-ġbir tad-data DNS Passiva. Iżda madankollu, DNS Passiv huwa sors ta 'informazzjoni addizzjonali għar-riċerkatur.
Awtur: Speċjalista taċ-Ċentru Ural għas-Sistemi tas-Sigurtà
Sors: www.habr.com