Het Domain Name System (DNS) is als een telefoonboek dat gebruiksvriendelijke namen zoals "ussc.ru" vertaalt naar IP-adressen. Omdat DNS-activiteit aanwezig is in bijna alle communicatiesessies, ongeacht het protocol. DNS-logging is dus een waardevolle gegevensbron voor de informatiebeveiligingsspecialist, waardoor hij afwijkingen kan opsporen of aanvullende gegevens kan verkrijgen over het onderzochte systeem.
In 2004 stelde Florian Weimer een logmethode voor, Passive DNS genaamd, waarmee u de geschiedenis van DNS-gegevenswijzigingen kunt herstellen met de mogelijkheid om te indexeren en te zoeken, wat toegang kan bieden tot de volgende gegevens:
- Domeinnaam
- Het IP-adres van de aangevraagde domeinnaam
- Datum en tijd van reactie
- Reactietype
- etc.
Gegevens voor passieve DNS worden verzameld van recursieve DNS-servers door ingebouwde modules of door antwoorden te onderscheppen van DNS-servers die verantwoordelijk zijn voor de zone.
Figuur 1. Passieve DNS (overgenomen van de site )
Het bijzondere van Passive DNS is dat het niet nodig is om het IP-adres van de klant te registreren, wat de privacy van gebruikers helpt beschermen.
Op dit moment zijn er veel diensten die toegang bieden tot passieve DNS-gegevens:
vennootschap
Afstandszicht beveiliging
VirusTotal
Risicoiq
VeiligeDNS
BeveiligingTrails
Cisco
Toegang
Op verzoek
Vereist geen registratie
Registratie is gratis
Op verzoek
Vereist geen registratie
Op verzoek
API
aanwezig
aanwezig
aanwezig
aanwezig
aanwezig
aanwezig
Aanwezigheid van de klant
aanwezig
aanwezig
aanwezig
Geen
Geen
Geen
Start van dataverzameling
2010 jaar
2013 jaar
2009 jaar
Geeft alleen de afgelopen 3 maanden weer
2008 jaar
2006 jaar
Tabel 1. Services met toegang tot passieve DNS-gegevens
Gebruiksscenario's voor passieve DNS
Met Passive DNS kunt u relaties opbouwen tussen domeinnamen, NS-servers en IP-adressen. Hierdoor kunt u kaarten maken van de onderzochte systemen en veranderingen in een dergelijke kaart volgen vanaf de eerste ontdekking tot het huidige moment.
Passieve DNS maakt het ook gemakkelijker om verkeersafwijkingen te detecteren. Door bijvoorbeeld wijzigingen in NS-zones en records van type A en AAAA bij te houden, kunt u kwaadwillende sites identificeren die de fast flux-methode gebruiken, ontworpen om C&C te verbergen voor detectie en blokkering. Omdat legitieme domeinnamen (behalve degene die worden gebruikt voor taakverdeling) hun IP-adressen niet vaak zullen veranderen, en de meeste legitieme zones zelden hun NS-servers zullen veranderen.
Met passieve DNS kunt u, in tegenstelling tot de directe opsomming van subdomeinen met behulp van woordenboeken, zelfs de meest exotische domeinnamen vinden, bijvoorbeeld “222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. Hiermee kunt u soms ook test- (en kwetsbare) delen van de website, ontwikkelaarsmateriaal, enz. vinden.
Onderzoek naar een link vanuit een e-mail met behulp van passieve DNS
Momenteel is spam een van de belangrijkste manieren waarop een aanvaller de computer van een slachtoffer binnendringt of vertrouwelijke informatie steelt. Laten we proberen de link uit zo'n brief te onderzoeken met behulp van Passive DNS om de effectiviteit van deze methode te evalueren.
Figuur 2. Spam-e-mail
De link uit deze brief leidde naar de site magnit-boss.rocks, die aanbood om automatisch bonussen te verzamelen en geld te ontvangen:
Figuur 3. Pagina gehost op het domein magnit-boss.rocks
Om deze site te bestuderen, heb ik gebruikt , waar al 3 kant-en-klare clients op staan , и .
Allereerst zullen we de volledige geschiedenis van deze domeinnaam achterhalen, hiervoor gebruiken we het commando:
pt-client pdns --query magnit-boss.rocks
Deze opdracht retourneert informatie over alle DNS-resoluties die aan deze domeinnaam zijn gekoppeld.
Figuur 4. Reactie van Riskiq API
Laten we het antwoord van de API naar een meer visuele vorm brengen:
Figuur 5. Alle vermeldingen uit het antwoord
Voor verder onderzoek hebben we de IP-adressen meegenomen waarnaar deze domeinnaam was overgegaan op het moment dat de brief op 01.08.2019-92.119.113.112-85.143.219.65 werd ontvangen, dergelijke IP-adressen zijn de volgende adressen XNUMX en XNUMX.
Met behulp van de opdracht:
pt-client pdns --query
u kunt alle domeinnamen krijgen die aan deze IP-adressen zijn gekoppeld.
Het IP-adres 92.119.113.112 heeft 42 unieke domeinnamen die zijn omgezet naar dit IP-adres, waaronder de volgende namen:
- magneet-baas.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- et al
Het IP-adres 85.143.219.65 heeft 44 unieke domeinnamen die naar dit IP-adres zijn omgezet, waaronder de volgende namen:
- cvv2.name (website voor het verkopen van creditcardgegevens)
- e-maills.world
- www.mailru.space
- et al
Verbindingen met deze domeinnamen leiden tot phishing, maar wij geloven in aardige mensen, dus laten we proberen een bonus van 332 roebel te krijgen? Nadat we op de knop "JA" hebben geklikt, vraagt de site ons om 501.72 roebel van de kaart over te maken om het account te ontgrendelen en stuurt ons naar de site as-torpay.info om gegevens in te voeren.
Figuur 6. Hoofdpagina van de site ac-pay2day.net
Het ziet eruit als een legale site, er is een https-certificaat en de hoofdpagina biedt aan om dit betalingssysteem aan uw site te koppelen, maar helaas werken alle links om verbinding te maken niet. Deze domeinnaam heeft slechts één IP-adres: 1. Het heeft op zijn beurt 190.115.19.74 unieke domeinnamen die naar dit IP-adres verwijzen, waaronder namen als:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- et al
Zoals we kunnen zien, kunt u met Passive DNS snel en efficiënt gegevens verzamelen over de onderzochte bron en zelfs een soort afdruk maken waarmee u het hele plan voor het stelen van persoonlijke gegevens kunt ontdekken, vanaf de ontvangst ervan tot de waarschijnlijke plaats van verkoop.
Figuur 7. Kaart van het onderzochte systeem
Niet alles is zo rooskleurig als we zouden willen. Dergelijke onderzoeken kunnen bijvoorbeeld gemakkelijk inbreken op CloudFlare of vergelijkbare services. En de effectiviteit van de verzamelde database is sterk afhankelijk van het aantal DNS-verzoeken dat door de module voor het verzamelen van passieve DNS-gegevens gaat. Niettemin is Passive DNS een bron van aanvullende informatie voor de onderzoeker.
Auteur: Specialist van het Ural Centrum voor Beveiligingssystemen
Bron: www.habr.com