Domain Name System (DNS) er som en telefonbok som oversetter brukervennlige navn som "ussc.ru" til IP-adresser. Siden DNS-aktivitet er tilstede i nesten alle kommunikasjonsøkter, uavhengig av protokollen. Dermed er DNS-logging en verdifull datakilde for informasjonssikkerhetsspesialister, som lar dem oppdage anomalier eller få ytterligere data om systemet som studeres.
I 2004 foreslo Florian Weimer en loggingsmetode kalt Passive DNS, som lar deg gjenopprette historien til DNS-dataendringer med muligheten til å indeksere og søke, som kan gi tilgang til følgende data:
- Domenenavn
- IP-adressen til det forespurte domenenavnet
- Dato og tidspunkt for svar
- Svartype
- etc.
Data for passiv DNS samles inn fra rekursive DNS-servere ved hjelp av innebygde moduler eller ved å avskjære svar fra DNS-servere som er ansvarlige for sonen.
Figur 1. Passiv DNS (hentet fra nettstedet
Det særegne med passiv DNS er at det ikke er behov for å registrere klientens IP-adresse, noe som bidrar til å beskytte brukernes personvern.
For øyeblikket er det mange tjenester som gir tilgang til passive DNS-data:
selskap
Farsight Security
VirusTotal
Riskiq
SikkerDNS
sikkerhetsstier
Cisco
Adgang
På forespørsel
Krever ikke registrering
Registrering er gratis
På forespørsel
Krever ikke registrering
På forespørsel
API
Tilstede
Tilstede
Tilstede
Tilstede
Tilstede
Tilstede
Kundetilstedeværelse
Tilstede
Tilstede
Tilstede
Nei
Nei
Nei
Start av datainnsamling
2010 år
2013 år
2009 år
Viser kun de siste 3 månedene
2008 år
2006 år
Tabell 1. Tjenester med tilgang til passive DNS-data
Brukstilfeller for passiv DNS
Ved å bruke passiv DNS kan du bygge relasjoner mellom domenenavn, NS-servere og IP-adresser. Dette lar deg bygge kart over systemene som studeres og spore endringer i et slikt kart fra første oppdagelse til nåværende øyeblikk.
Passiv DNS gjør det også lettere å oppdage uregelmessigheter i trafikken. Sporing av endringer i NS-soner og poster av type A og AAAA lar deg for eksempel identifisere ondsinnede nettsteder ved å bruke hurtigfluxmetoden, designet for å skjule C&C fra oppdagelse og blokkering. Fordi legitime domenenavn (bortsett fra de som brukes til lastbalansering) ikke vil endre IP-adressene ofte, og de fleste legitime soner endrer sjelden NS-servere.
Passiv DNS, i motsetning til direkte oppregning av underdomener ved hjelp av ordbøker, lar deg finne selv de mest eksotiske domenenavnene, for eksempel "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Det lar deg også noen ganger finne testområder (og sårbare) områder på nettstedet, utviklermateriale osv.
Undersøker en lenke fra en e-post ved hjelp av passiv DNS
For øyeblikket er spam en av de viktigste måtene en angriper trenger inn på datamaskinen til et offer eller stjeler konfidensiell informasjon. La oss prøve å undersøke koblingen fra en slik e-post ved å bruke passiv DNS for å evaluere effektiviteten til denne metoden.
Figur 2. Spam-e-post
Lenken fra dette brevet førte til nettstedet magnit-boss.rocks, som tilbød seg å automatisk samle inn bonuser og motta penger:
Figur 3. Siden er vert på domenet magnit-boss.rocks
For studiet av dette nettstedet ble brukt
Først av alt vil vi finne ut hele historien til dette domenenavnet, for dette vil vi bruke kommandoen:
pt-klient pdns --søk magnit-boss.rocks
Denne kommandoen vil returnere informasjon om alle DNS-oppløsninger knyttet til dette domenenavnet.
Figur 4. Svar fra Riskiq API
La oss bringe svaret fra API til en mer visuell form:
Figur 5. Alle oppføringer fra svaret
For videre forskning tok vi IP-adressene som dette domenenavnet hadde løst til da brevet ble mottatt 01.08.2019, slike IP-adresser er følgende adresser 92.119.113.112 og 85.143.219.65.
Ved å bruke kommandoen:
pt-klient pdns --query
du kan få alle domenenavnene som er knyttet til gitte IP-adresser.
IP-adressen 92.119.113.112 har 42 unike domenenavn som har løst til denne IP-adressen, blant dem er følgende navn:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- og andre
IP-adressen 85.143.219.65 har 44 unike domenenavn som er løst til denne IP-adressen, blant dem er følgende navn:
- cvv2.name (nettsted for salg av kredittkortdata)
- emaills.world
- www.mailru.space
- og andre
Forbindelser med disse domenenavnene fører til phishing, men vi tror på snille mennesker, så la oss prøve å få en bonus på 332 501.72 rubler? Etter å ha klikket på "JA" -knappen, ber nettstedet oss om å overføre 300 rubler fra kortet for å låse opp kontoen og sender oss til nettstedet as-torpay.info for å legge inn data.
Figur 6. Hovedsiden til nettstedet ac-pay2day.net
Det ser ut som et lovlig nettsted, det er et https-sertifikat, og hovedsiden tilbyr å koble dette betalingssystemet til nettstedet ditt, men dessverre, alle koblingene for å koble til fungerer ikke. Dette domenenavnet løser seg til kun 1 ip-adresse - 190.115.19.74. Den har på sin side 1475 unike domenenavn som går til denne IP-adressen, inkludert navn som:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- og andre
Som vi kan se, lar Passive DNS deg raskt og effektivt samle inn data om ressursen som studeres og til og med bygge et slags avtrykk som lar deg avdekke hele ordningen for å stjele personopplysninger, fra mottaket til det sannsynlige salgsstedet.
Figur 7. Kart over systemet som studeres
Ikke alt er så rosenrødt som vi ønsker. For eksempel kan slike undersøkelser lett gå i stykker på CloudFlare eller lignende tjenester. Og effektiviteten til den innsamlede databasen er veldig avhengig av antall DNS-forespørsler som går gjennom modulen for innsamling av passive DNS-data. Likevel er passiv DNS en kilde til tilleggsinformasjon for forskeren.
Forfatter: Spesialist ved Ural Center for Security Systems
Kilde: www.habr.com