O Sistema de Nomes de Domínio (DNS) é como uma lista telefônica que traduz nomes fáceis de usar como “ussc.ru” em endereços IP. Já a atividade do DNS está presente em quase todas as sessões de comunicação, independente do protocolo. Assim, o log de DNS é uma fonte valiosa de dados para o especialista em segurança da informação, permitindo-lhe detectar anomalias ou obter dados adicionais sobre o sistema sob investigação.
Em 2004, Florian Weimer propôs um método de registro chamado Passive DNS, que permite restaurar o histórico de alterações de dados DNS com a capacidade de indexação e pesquisa, que pode fornecer acesso aos seguintes dados:
- Nome do domínio
- O endereço IP do nome de domínio solicitado
- Data e hora da resposta
- Tipo de resposta
- и т.д.
Os dados para DNS passivo são coletados de servidores DNS recursivos por módulos integrados ou pela interceptação de respostas de servidores DNS responsáveis pela zona.
Figura 1. DNS passivo (retirado do site
A peculiaridade do DNS Passivo é que não há necessidade de cadastrar o endereço IP do cliente, o que ajuda a proteger a privacidade do usuário.
No momento, existem muitos serviços que fornecem acesso a dados de DNS passivo:
companhia
Segurança Farsight
VirusTotal
Risco
DNS seguro
Trilhas de segurança
Cisco
Acesso
A pedido
Não requer registro
A inscrição é gratuita
A pedido
Não requer registro
A pedido
API
Apresentar
Apresentar
Apresentar
Apresentar
Apresentar
Apresentar
Presença do cliente
Apresentar
Apresentar
Apresentar
Nenhum
Nenhum
Nenhum
Início da coleta de dados
ano 2010
ano 2013
ano 2009
Exibe apenas os últimos 3 meses
ano 2008
ano 2006
Tabela 1. Serviços com acesso a dados de DNS passivo
Casos de uso para DNS passivo
Usando DNS passivo, você pode construir relacionamentos entre nomes de domínio, servidores NS e endereços IP. Isso permite construir mapas dos sistemas em estudo e rastrear alterações em tal mapa desde a primeira descoberta até o momento atual.
O DNS passivo também facilita a detecção de anomalias no tráfego. Por exemplo, rastrear alterações em zonas NS e registros do tipo A e AAAA permite identificar sites maliciosos usando o método de fluxo rápido, projetado para ocultar C&C de detecção e bloqueio. Porque os nomes de domínio legítimos (com exceção daqueles usados para balanceamento de carga) não alteram seus endereços IP com frequência, e a maioria das zonas legítimas raramente alteram seus servidores NS.
O DNS passivo, em contraste com a enumeração direta de subdomínios usando dicionários, permite encontrar até os nomes de domínio mais exóticos, por exemplo, “222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. Às vezes, também permite que você encontre áreas de teste (e vulneráveis) do site, materiais do desenvolvedor, etc.
Examinando um link de um email usando DNS passivo
No momento, o spam é uma das principais formas pelas quais um invasor penetra no computador da vítima ou rouba informações confidenciais. Vamos tentar examinar o link desse e-mail usando DNS passivo para avaliar a eficácia desse método.
Figura 2. E-mail de spam
O link desta carta levava ao site magnit-boss.rocks, que oferecia coleta automática de bônus e recebimento de dinheiro:
Figura 3. Página hospedada no domínio magnit-boss.rocks
Para o estudo deste site foi utilizado
Em primeiro lugar vamos descobrir todo o histórico deste nome de domínio, para isso utilizaremos o comando:
pt-client pdns --query magnit-boss.rocks
Este comando retornará informações sobre todas as resoluções DNS associadas a este nome de domínio.
Figura 4. Resposta da API Riskiq
Vamos trazer a resposta da API para um formato mais visual:
Figura 5. Todas as entradas da resposta
Para pesquisas adicionais, pegamos os endereços IP para os quais este nome de domínio havia resolvido no momento do recebimento da carta em 01.08.2019/92.119.113.112/85.143.219.65, tais endereços IP são os seguintes endereços XNUMX e XNUMX.
Usando o comando:
pt-cliente pdns --query
você pode obter todos os nomes de domínio associados a determinados endereços IP.
O endereço IP 92.119.113.112 possui 42 nomes de domínio exclusivos que foram resolvidos para este endereço IP, entre os quais estão os seguintes nomes:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- et al
O endereço IP 85.143.219.65 possui 44 nomes de domínio exclusivos que foram resolvidos para este endereço IP, entre os quais estão os seguintes nomes:
- cvv2.name (site para venda de dados de cartão de crédito)
- emaills.world
- www.mailru.space
- et al
Conexões com esses nomes de domínio levam ao phishing, mas acreditamos em pessoas gentis, então vamos tentar obter um bônus de 332 rublos? Após clicar no botão “SIM”, o site nos pede para transferir 501.72 rublos do cartão para desbloquear a conta e nos envia ao site as-torpay.info para inserir os dados.
Figura 6. Página principal do site ac-pay2day.net
Parece um site legal, existe um certificado https e a página principal oferece a conexão deste sistema de pagamento ao seu site, mas, infelizmente, todos os links de conexão não funcionam. Este nome de domínio é resolvido para apenas 1 endereço IP – 190.115.19.74. Ele, por sua vez, possui 1475 nomes de domínio exclusivos que resolvem esse endereço IP, incluindo nomes como:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- www.fletkass.net
- as-magicpay.com
- et al
Como podemos constatar, o DNS Passivo permite recolher de forma rápida e eficiente dados sobre o recurso em estudo e ainda construir uma espécie de impressão que permite desvendar todo o esquema de roubo de dados pessoais, desde a sua recepção até ao provável local de venda.
Figura 7. Mapa do sistema em estudo
Nem tudo é tão róseo quanto gostaríamos. Por exemplo, tais investigações podem facilmente falhar no CloudFlare ou em serviços semelhantes. E a eficácia do banco de dados coletado depende muito do número de solicitações de DNS que passam pelo módulo de coleta de dados de DNS passivo. No entanto, o DNS Passivo é uma fonte de informação adicional para o pesquisador.
Autor: Especialista do Centro Ural de Sistemas de Segurança
Fonte: habr.com