Systém názvov domén (DNS) je ako telefónny zoznam, ktorý prekladá užívateľsky prívetivé mená ako „ussc.ru“ na adresy IP. Keďže aktivita DNS je prítomná takmer vo všetkých komunikačných reláciách, bez ohľadu na protokol. Logovanie DNS je teda pre špecialistu informačnej bezpečnosti cenným zdrojom údajov, ktorý im umožňuje odhaliť anomálie alebo získať ďalšie údaje o skúmanom systéme.
V roku 2004 Florian Weimer navrhol metódu protokolovania s názvom Passive DNS, ktorá vám umožňuje obnoviť históriu zmien údajov DNS s možnosťou indexovania a vyhľadávania, čo môže poskytnúť prístup k nasledujúcim údajom:
- Názov domény
- IP adresa požadovaného názvu domény
- Dátum a čas odpovede
- Typ odpovede
- atď
Údaje pre pasívne DNS sa zhromažďujú z rekurzívnych serverov DNS pomocou vstavaných modulov alebo zachytávaním odpovedí serverov DNS zodpovedných za zónu.
Obrázok 1. Pasívne DNS (prevzaté zo stránky )
Zvláštnosťou pasívneho DNS je, že nie je potrebné registrovať IP adresu klienta, čo pomáha chrániť súkromie používateľa.
V súčasnosti existuje veľa služieb, ktoré poskytujú prístup k údajom pasívneho DNS:
spoločnosť
Ďalekozraká bezpečnosť
VirusTotal
Riskiq
SafeDNS
bezpečnostné chodníky
Cisco
Prístup
Na požiadanie
Nevyžaduje registráciu
Registrácia je bezplatná
Na požiadanie
Nevyžaduje registráciu
Na požiadanie
API
Prítomný
Prítomný
Prítomný
Prítomný
Prítomný
Prítomný
Prítomnosť zákazníka
Prítomný
Prítomný
Prítomný
Žiadny
Žiadny
Žiadny
Začiatok zberu údajov
2010 rok
2013 rok
2009 rok
Zobrazuje len posledné 3 mesiace
2008 rok
2006 rok
Tabuľka 1. Služby s prístupom k údajom pasívneho DNS
Prípady použitia pre pasívny DNS
Pomocou pasívneho DNS môžete vytvárať vzťahy medzi názvami domén, servermi NS a adresami IP. To vám umožňuje vytvárať mapy skúmaných systémov a sledovať zmeny v takejto mape od prvého objavu až po súčasný moment.
Pasívny DNS tiež uľahčuje detekciu anomálií v prevádzke. Napríklad sledovanie zmien v zónach NS a záznamoch typu A a AAAA vám umožňuje identifikovať škodlivé stránky pomocou metódy rýchleho toku, ktorá je navrhnutá tak, aby skryla C&C pred detekciou a blokovaním. Pretože legitímne názvy domén (s výnimkou tých, ktoré sa používajú na vyrovnávanie záťaže) nemenia svoje IP adresy často a väčšina legitímnych zón len zriedka mení svoje NS servery.
Pasívny DNS, na rozdiel od priameho počítania subdomén pomocou slovníkov, vám umožňuje nájsť aj tie najexotickejšie názvy domén, napríklad „222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru“. Niekedy vám tiež umožňuje nájsť testovacie (a zraniteľné) oblasti webu, materiály pre vývojárov atď.
Preskúmanie odkazu z e-mailu pomocou pasívneho DNS
V súčasnosti je spam jedným z hlavných spôsobov, ako útočník prenikne do počítača obete alebo ukradne dôverné informácie. Pokúsme sa preskúmať odkaz z takéhoto e-mailu pomocou pasívneho DNS, aby sme vyhodnotili účinnosť tejto metódy.
Obrázok 2. Spamový e-mail
Odkaz z tohto listu viedol na stránku magnit-boss.rocks, ktorá ponúkala automatické zbieranie bonusov a prijímanie peňazí:
Obrázok 3. Stránka hosťovaná na doméne magnit-boss.rocks
Na štúdium tejto lokality bola použitá , ktorá má na sebe už 3 hotových klientov , и .
Najprv zistíme celú históriu tohto názvu domény, na to použijeme príkaz:
pt-client pdns --query magnit-boss.rocks
Tento príkaz vráti informácie o všetkých rozlíšeniach DNS spojených s týmto názvom domény.
Obrázok 4. Odpoveď z Riskiq API
Prenesme odpoveď z API do vizuálnejšej podoby:
Obrázok 5. Všetky záznamy z odpovede
Na ďalší výskum sme vzali adresy IP, na ktoré sa toto doménové meno preložilo v čase prijatia listu 01.08.2019, takéto adresy IP sú nasledujúce adresy 92.119.113.112 a 85.143.219.65.
Pomocou príkazu:
pt-client pdns --dotaz
môžete získať všetky názvy domén, ktoré sú spojené s danými adresami IP.
Adresa IP 92.119.113.112 má 42 jedinečných názvov domén, ktoré boli preložené na túto adresu IP, medzi ktorými sú tieto názvy:
- magnit-boss.klub
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- a etc
Adresa IP 85.143.219.65 má 44 jedinečných názvov domén, ktoré boli preložené na túto adresu IP, medzi ktorými sú tieto názvy:
- cvv2.name (webová stránka na predaj údajov o kreditnej karte)
- emaills.world
- www.mailru.space
- a etc
Spojenie s týmito názvami domén vedie k phishingu, ale veríme v láskavých ľudí, takže skúsme získať bonus 332 501.72 rubľov? Po kliknutí na tlačidlo „ÁNO“ nás stránka požiada o prevod 300 rubľov z karty na odomknutie účtu a pošle nás na stránku as-torpay.info, aby sme zadali údaje.
Obrázok 6. Hlavná stránka stránky ac-pay2day.net
Vyzerá to ako legálna stránka, existuje certifikát https a hlavná stránka ponúka pripojenie tohto platobného systému k vašej stránke, ale, bohužiaľ, všetky odkazy na pripojenie nefungujú. Tento názov domény sa prekladá iba na 1 IP adresu – 190.115.19.74. Na druhej strane má 1475 jedinečných názvov domén, ktoré sa prekladajú na túto adresu IP, vrátane názvov ako:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- a etc
Ako vidíme, pasívny DNS vám umožňuje rýchlo a efektívne zhromažďovať údaje o skúmanom zdroji a dokonca vytvoriť určitý druh odtlačku, ktorý vám umožní odhaliť celú schému kradnutia osobných údajov, od ich prijatia až po pravdepodobné miesto predaja.
Obrázok 7. Mapa skúmaného systému
Nie všetko je také ružové, ako by sme chceli. Takéto vyšetrovanie sa napríklad môže ľahko prerušiť na CloudFlare alebo podobných službách. A efektívnosť zozbieranej databázy veľmi závisí od počtu DNS dotazov prechádzajúcich cez modul na zber pasívnych DNS údajov. Napriek tomu je pasívny DNS pre výskumníka zdrojom dodatočných informácií.
Autor: Špecialista Uralského centra pre bezpečnostné systémy
Zdroj: hab.com