System nazw domen (DNS) przypomina książkę telefoniczną, która tłumaczy przyjazne dla użytkownika nazwy, takie jak „ussc.ru”, na adresy IP. Ponieważ aktywność DNS jest obecna w prawie wszystkich sesjach komunikacyjnych, niezależnie od protokołu. Tym samym logowanie DNS jest cennym źródłem danych dla specjalistów ds. bezpieczeństwa informacji, pozwalającym na wykrycie nieprawidłowości lub uzyskanie dodatkowych danych na temat badanego systemu.
W 2004 roku Florian Weimer zaproponował metodę logowania zwaną Pasywnym DNS, która pozwala na odtworzenie historii zmian danych DNS z możliwością indeksowania i wyszukiwania, co może zapewnić dostęp do następujących danych:
- Nazwa domeny
- Adres IP żądanej nazwy domeny
- Data i godzina odpowiedzi
- Typ odpowiedzi
- itd.
Dane dla Pasywnego DNS zbierane są z rekurencyjnych serwerów DNS poprzez wbudowane moduły lub poprzez przechwytywanie odpowiedzi z serwerów DNS odpowiedzialnych za strefę.
Rysunek 1. Pasywny DNS (pobrany z witryny site
Cechą pasywnego DNS jest to, że nie ma potrzeby rejestrowania adresu IP klienta, co pomaga chronić prywatność użytkownika.
W tej chwili istnieje wiele usług zapewniających dostęp do danych pasywnego DNS:
spółka
Bezpieczeństwo dalekowzroczne
VirusTotal
Ryzykowne
Bezpieczny DNS
Ścieżki bezpieczeństwa
Cisco
оступ
Na zamówienie
Nie wymaga rejestracji
Rejestracja jest bezpłatna
Na zamówienie
Nie wymaga rejestracji
Na zamówienie
API
obecny
obecny
obecny
obecny
obecny
obecny
Dostępność klienta
obecny
obecny
obecny
Żaden
Żaden
Żaden
Rozpoczęcie gromadzenia danych
Rok 2010
Rok 2013
Rok 2009
Wyświetla tylko ostatnie 3 miesiące
Rok 2008
Rok 2006
Tabela 1. Usługi z dostępem do danych Pasywnego DNS
Przypadki użycia pasywnego DNS
Korzystając z pasywnego DNS, możesz budować połączenia pomiędzy nazwami domen, serwerami NS i adresami IP. Pozwala to na budowanie map badanych systemów i śledzenie zmian na takiej mapie od pierwszego odkrycia do chwili obecnej.
Pasywny DNS ułatwia także wykrywanie anomalii w ruchu. Na przykład śledzenie zmian w strefach NS oraz rekordów typu A i AAAA umożliwia identyfikację złośliwych witryn korzystających z metody fast flux, zaprojektowanej w celu ukrycia C&C przed wykryciem i zablokowaniem. Ponieważ legalne nazwy domen (z wyjątkiem tych używanych do równoważenia obciążenia) nie będą często zmieniać swoich adresów IP, a większość legalnych stref rzadko zmienia swoje serwery NS.
Pasywny DNS, w przeciwieństwie do bezpośredniego wyszukiwania subdomen za pomocą słowników, pozwala znaleźć nawet najbardziej egzotyczne nazwy domen, na przykład „222qmxacaiqaaaaazibq4aaidhmbqaaa0undefinied7140c0.p.hoff.ru”. Czasami pozwala także znaleźć testowe (i podatne) obszary witryny, materiały dla programistów itp.
Wyszukiwanie linku z wiadomości e-mail przy użyciu pasywnego DNS
Obecnie spam jest jednym z głównych sposobów, za pomocą których osoba atakująca przedostaje się do komputera ofiary lub kradnie poufne informacje. Spróbujmy zbadać link z takiego listu za pomocą pasywnego DNS, aby ocenić skuteczność tej metody.
Rysunek 2. E-mail spamowy
Link z tego listu prowadził do strony magnit-boss.rocks, która oferowała automatyczne zbieranie bonusów i otrzymywanie pieniędzy:
Rysunek 3. Strona hostowana w domenie magnit-boss.rocks
Aby przestudiować tę witrynę, użyłem
Przede wszystkim poznamy całą historię tej nazwy domeny, w tym celu użyjemy polecenia:
pt-client pdns — zapytanie magnet-boss.rocks
To polecenie wyświetli informacje o wszystkich rozpoznawaniach DNS powiązanych z tą nazwą domeny.
Rysunek 4. Odpowiedź z API Riskiq
Przełóżmy odpowiedź z API na bardziej wizualną formę:
Rysunek 5. Wszystkie wpisy z odpowiedzi
Do dalszych badań wzięliśmy adresy IP, na które ta nazwa domeny została przeniesiona w momencie otrzymania pisma w dniu 01.08.2019 r., takimi adresami IP są następujące adresy 92.119.113.112 i 85.143.219.65.
Używając polecenia:
pt-klient pdns --query
możesz uzyskać wszystkie nazwy domen powiązane z tymi adresami IP.
Adres IP 92.119.113.112 ma 42 unikalne nazwy domen, które odpowiadają temu adresowi IP, wśród których znajdują się następujące nazwy:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- i etc
Adres IP 85.143.219.65 ma 44 unikalne nazwy domen, które odpowiadają temu adresowi IP, wśród których znajdują się następujące nazwy:
- cvv2.name (strona służąca do sprzedaży danych kart kredytowych)
- emaills.world
- www.mailru.space
- i etc
Połączenia z tymi nazwami domen sugerują phishing, ale my wierzymy w dobrych ludzi, więc spróbujmy uzyskać premię w wysokości 332 501.72 rubli? Po kliknięciu przycisku „TAK” strona prosi nas o przelanie 300 rubli z karty w celu odblokowania konta i odsyła nas do strony as-torpay.info w celu wprowadzenia danych.
Rysunek 6. Strona główna serwisu ac-pay2day.net
Wygląda na legalną stronę, jest certyfikat https, a strona główna oferuje połączenie tego systemu płatności z Twoją witryną, ale niestety wszystkie linki do połączenia nie działają. Ta nazwa domeny jest rozpoznawana tylko przez 1 adres IP - 190.115.19.74. Ona z kolei posiada 1475 unikalnych nazw domen, które tłumaczą się na ten adres IP, w tym takie nazwy jak:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- Fletkass.net
- as-magicpay.com
- i etc
Jak widzimy, pasywny DNS pozwala szybko i skutecznie zebrać dane o badanym zasobie, a nawet zbudować swego rodzaju odcisk palca, który pozwala odkryć cały schemat kradzieży danych osobowych, od ich otrzymania do prawdopodobnego miejsca sprzedaży.
Rysunek 7. Mapa badanego systemu
Nie wszystko jest tak różowe jak byśmy chcieli. Na przykład takie dochodzenia mogą łatwo zakończyć się niepowodzeniem w przypadku CloudFlare lub podobnych usług. Natomiast efektywność zebranej bazy danych w dużym stopniu zależy od liczby żądań DNS przechodzących przez moduł zbierający dane Pasywnego DNS. Niemniej jednak pasywny DNS jest źródłem dodatkowych informacji dla badacza.
Autor: Specjalista Uralskiego Centrum Systemów Bezpieczeństwa
Źródło: www.habr.com