Sistemul de nume de domeniu (DNS) este ca o agendă de telefon care traduce nume ușor de utilizat, precum „ussc.ru” în adrese IP. Deoarece activitatea DNS este prezentă în aproape toate sesiunile de comunicare, indiferent de protocol. Astfel, înregistrarea DNS este o sursă valoroasă de date pentru specialistul în securitatea informațiilor, permițându-le să detecteze anomalii sau să obțină date suplimentare despre sistemul investigat.
În 2004, Florian Weimer a propus o metodă de înregistrare numită DNS pasiv, care vă permite să restabiliți istoricul modificărilor datelor DNS cu posibilitatea de indexare și căutare, care poate oferi acces la următoarele date:
- Nume de domeniu
- Adresa IP a numelui de domeniu solicitat
- Data și ora răspunsului
- Tip de răspuns
- etc
Datele pentru DNS pasiv sunt colectate de la serverele DNS recursive prin module încorporate sau prin interceptarea răspunsurilor de la serverele DNS responsabile de zonă.
Figura 1. DNS pasiv (preluat de pe site )
Particularitatea DNS pasiv este că nu este nevoie să înregistrați adresa IP a clientului, ceea ce ajută la protejarea confidențialității utilizatorului.
În prezent, există multe servicii care oferă acces la datele DNS pasive:
companie
Securitate Farsight
VirusTotal
Riskiq
SafeDNS
Trasee de securitate
Cisco
Acces
la cerere
Nu necesită înregistrare
Înregistrarea este gratuită
la cerere
Nu necesită înregistrare
la cerere
API
Prezent
Prezent
Prezent
Prezent
Prezent
Prezent
Prezența clientului
Prezent
Prezent
Prezent
Nici unul
Nici unul
Nici unul
Începutul colectării datelor
2010 an
2013 an
2009 an
Afișează doar ultimele 3 luni
2008 an
2006 an
Tabel 1. Servicii cu acces la date DNS pasive
Cazuri de utilizare pentru DNS pasiv
Folosind DNS pasiv, puteți construi relații între nume de domenii, servere NS și adrese IP. Acest lucru vă permite să construiți hărți ale sistemelor studiate și să urmăriți modificările pe o astfel de hartă de la prima descoperire până în momentul actual.
DNS pasiv facilitează, de asemenea, detectarea anomaliilor în trafic. De exemplu, urmărirea modificărilor din zonele NS și înregistrările de tip A și AAAA vă permite să identificați site-uri rău intenționate folosind metoda fluxului rapid, concepută pentru a ascunde C&C de la detectare și blocare. Deoarece numele de domenii legitime (cu excepția celor utilizate pentru echilibrarea încărcăturii) nu își vor schimba adesea adresele IP și majoritatea zonelor legitime își schimbă rareori serverele NS.
DNS pasiv, spre deosebire de enumerarea directă a subdomeniilor folosind dicționare, vă permite să găsiți chiar și cele mai exotice nume de domenii, de exemplu, „222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. De asemenea, uneori vă permite să găsiți zone de testare (și vulnerabile) ale site-ului web, materiale pentru dezvoltatori etc.
Examinarea unui link dintr-un e-mail folosind DNS pasiv
În prezent, spam-ul este una dintre principalele modalități prin care un atacator pătrunde în computerul unei victime sau fură informații confidențiale. Să încercăm să examinăm linkul dintr-un astfel de e-mail folosind DNS pasiv pentru a evalua eficacitatea acestei metode.
Figura 2. E-mail spam
Link-ul din această scrisoare a condus la site-ul magnit-boss.rocks, care se oferea să colecteze automat bonusuri și să primească bani:
Figura 3. Pagina găzduită pe domeniul magnit-boss.rocks
Pentru studiul acestui site a fost folosit , care are deja 3 clienți gata pregătiți , и .
În primul rând, vom afla întregul istoric al acestui nume de domeniu, pentru aceasta vom folosi comanda:
pt-client pdns --query magnit-boss.rocks
Această comandă va returna informații despre toate rezoluțiile DNS asociate cu acest nume de domeniu.
Figura 4. Răspunsul de la API-ul Riskiq
Să aducem răspunsul de la API într-o formă mai vizuală:
Figura 5. Toate intrările din răspuns
Pentru cercetări ulterioare, am luat adresele IP la care acest nume de domeniu a rezolvat la momentul primirii scrisorii pe 01.08.2019/92.119.113.112/85.143.219.65, astfel de adrese IP sunt următoarele adrese XNUMX și XNUMX.
Folosind comanda:
pt-client pdns --query
puteți obține toate numele de domenii care sunt asociate cu adrese IP date.
Adresa IP 92.119.113.112 are 42 de nume de domenii unice care s-au rezolvat la această adresă IP, printre care se numără următoarele nume:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- și altele
Adresa IP 85.143.219.65 are 44 de nume de domenii unice care s-au rezolvat la această adresă IP, printre care se numără următoarele nume:
- cvv2.name (site-ul web pentru vânzarea datelor cardului de credit)
- emaills.world
- www.mailru.space
- și altele
Conexiunile cu aceste nume de domenii duc la phishing, dar credem în oameni amabili, așa că să încercăm să obținem un bonus de 332 ruble? După ce facem clic pe butonul „DA”, site-ul ne cere să transferăm 501.72 de ruble de pe card pentru a debloca contul și ne trimite pe site-ul as-torpay.info pentru a introduce date.
Figura 6. Pagina principală a site-ului ac-pay2day.net
Arată ca un site legal, există un certificat https, iar pagina principală oferă conectarea acestui sistem de plată la site-ul tău, dar, din păcate, toate linkurile de conectare nu funcționează. Acest nume de domeniu se rezolvă la doar 1 adresă IP - 190.115.19.74. La rândul său, are 1475 de nume de domenii unice care se rezolvă la această adresă IP, inclusiv nume precum:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- și altele
După cum putem vedea, DNS pasiv vă permite să colectați rapid și eficient date despre resursa studiată și chiar să construiți un fel de amprentă care vă permite să descoperiți întreaga schemă de sustragere a datelor personale, de la primirea acesteia până la locul probabil de vânzare.
Figura 7. Harta sistemului studiat
Nu totul este atât de roz pe cât ne-am dori. De exemplu, astfel de investigații se pot rupe cu ușurință pe CloudFlare sau servicii similare. Și eficiența bazei de date colectate depinde foarte mult de numărul de solicitări DNS care trec prin modulul de colectare a datelor DNS pasive. Cu toate acestea, DNS pasiv este o sursă de informații suplimentare pentru cercetător.
Autor: Specialist al Centrului Ural pentru Sisteme de Securitate
Sursa: www.habr.com