Sistem domenskih imen (DNS) je kot telefonski imenik, ki uporabniku prijazna imena, kot je »ussc.ru«, prevede v naslove IP. Ker je aktivnost DNS prisotna v skoraj vseh komunikacijskih sejah, ne glede na protokol. Tako je beleženje DNS dragocen vir podatkov za strokovnjake za informacijsko varnost, ki jim omogoča odkrivanje anomalij ali pridobivanje dodatnih podatkov o proučevanem sistemu.
Leta 2004 je Florian Weimer predlagal metodo beleženja, imenovano pasivni DNS, ki vam omogoča obnovitev zgodovine sprememb podatkov DNS z možnostjo indeksiranja in iskanja, kar lahko zagotovi dostop do naslednjih podatkov:
- Domenno ime
- IP naslov zahtevanega imena domene
- Datum in čas odgovora
- Vrsta odziva
- itd
Podatki za pasivni DNS se zbirajo iz rekurzivnih DNS strežnikov z vgrajenimi moduli ali s prestrezanjem odgovorov DNS strežnikov, odgovornih za cono.
Slika 1. Pasivni DNS (vzeto s spletnega mesta
Značilnost pasivnega DNS je, da ni treba registrirati odjemalčevega naslova IP, kar pomaga zaščititi zasebnost uporabnikov.
Trenutno obstaja veliko storitev, ki omogočajo dostop do pasivnih podatkov DNS:
podjetje
Farsight Security
VirusTotal
Riskiq
SafeDNS
SecurityTrails
Cisco
Dostop
Na zahtevo
Ne zahteva registracije
Registracija je brezplačna
Na zahtevo
Ne zahteva registracije
Na zahtevo
API
Prisoten
Prisoten
Prisoten
Prisoten
Prisoten
Prisoten
Razpoložljivost stranke
Prisoten
Prisoten
Prisoten
Noben
Noben
Noben
Začetek zbiranja podatkov
2010 leto
2013 leto
2009 leto
Prikazuje samo zadnje 3 mesece
2008 leto
2006 leto
Tabela 1. Storitve z dostopom do pasivnih podatkov DNS
Primeri uporabe za pasivni DNS
Z uporabo pasivnega DNS lahko vzpostavite povezave med imeni domen, strežniki NS in naslovi IP. To vam omogoča, da sestavite zemljevide preučevanih sistemov in sledite spremembam na takem zemljevidu od prvega odkritja do trenutnega trenutka.
Pasivni DNS tudi olajša odkrivanje prometnih nepravilnosti. Na primer, sledenje spremembam v območjih NS in zapisih tipa A in AAAA vam omogoča prepoznavanje zlonamernih mest, ki uporabljajo metodo hitrega pretoka, zasnovano za skrivanje C&C pred odkrivanjem in blokiranjem. Ker legitimna imena domen (razen tistih, ki se uporabljajo za uravnoteženje obremenitve) ne bodo pogosto spreminjala svojih naslovov IP, večina legitimnih območij pa redko spremeni svoje strežnike NS.
Pasivni DNS v nasprotju z neposrednim iskanjem poddomen z uporabo slovarjev omogoča iskanje tudi najbolj eksotičnih imen domen, na primer "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Včasih vam omogoča tudi iskanje testnih (in ranljivih) področij spletnega mesta, gradiva za razvijalce itd.
Raziskovanje povezave iz e-pošte z uporabo pasivnega DNS
Trenutno je neželena pošta eden glavnih načinov, prek katerega napadalec prodre v računalnik žrtve ali ukrade zaupne podatke. Poskusimo preučiti povezavo iz takega pisma z uporabo Passive DNS, da ocenimo učinkovitost te metode.
Slika 2. Spam email
Povezava iz tega pisma je vodila do spletnega mesta magnit-boss.rocks, ki je ponujalo samodejno zbiranje bonusov in prejemanje denarja:
Slika 3. Stran gostuje na domeni magnit-boss.rocks
Za preučevanje te strani sem uporabil
Najprej bomo izvedeli celotno zgodovino tega imena domene, za to bomo uporabili ukaz:
pt-client pdns —poizvedba magnet-boss.rocks
Ta ukaz bo prikazal informacije o vseh rešitvah DNS, povezanih s tem imenom domene.
Slika 4. Odziv API-ja Riskiq
Prestavimo odgovor API-ja v bolj vizualno obliko:
Slika 5. Vsi vnosi iz odgovora
Za nadaljnjo raziskavo smo vzeli naslove IP, na katere se je to ime domene razrešilo v času, ko je bilo pismo prejeto 01.08.2019. 92.119.113.112. 85.143.219.65, takšna naslova IP sta naslednja naslova XNUMX in XNUMX.
Uporaba ukaza:
pt-client pdns --poizvedba
dobite lahko vsa imena domen, ki so povezana s temi naslovi IP.
Naslov IP 92.119.113.112 ima 42 edinstvenih imen domen, ki se razrešijo na ta naslov IP, med katerimi so naslednja imena:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- in drugi
Naslov IP 85.143.219.65 ima 44 edinstvenih imen domen, ki se razrešijo na ta naslov IP, med katerimi so naslednja imena:
- cvv2.name (stran za prodajo podatkov o kreditnih karticah)
- emaills.world
- www.mailru.space
- in drugi
Povezave s temi domenskimi imeni kažejo na lažno predstavljanje, vendar verjamemo v dobre ljudi, zato poskusimo pridobiti bonus v višini 332 rubljev? Po kliku na gumb »DA« nas spletno mesto prosi za prenos 501.72 rubljev s kartice za odklepanje računa in nas pošlje na spletno mesto as-torpay.info za vnos podatkov.
Slika 6. Domača stran spletnega mesta ac-pay2day.net
Videti je kot zakonito spletno mesto, obstaja potrdilo https in glavna stran ponuja povezavo tega plačilnega sistema z vašim spletnim mestom, vendar, žal, vse povezave za povezavo ne delujejo. To ime domene se razreši samo na 1 naslov IP - 190.115.19.74. Ima pa 1475 edinstvenih imen domen, ki se razrešijo na ta naslov IP, vključno z imeni, kot so:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- in drugi
Kot lahko vidimo, vam pasivni DNS omogoča hitro in učinkovito zbiranje podatkov o proučevanem viru in celo ustvarjanje nekakšnega prstnega odtisa, ki vam omogoča, da odkrijete celotno shemo za krajo osebnih podatkov, od njegovega prejema do verjetnega kraja prodaje.
Slika 7. Zemljevid proučevanega sistema
Ni vse tako rožnato, kot bi si želeli. Na primer, takšne preiskave lahko zlahka spodletijo pri storitvi CloudFlare ali podobnih storitvah. Učinkovitost zbrane baze podatkov je v veliki meri odvisna od števila DNS zahtev, ki gredo skozi modul za zbiranje pasivnih DNS podatkov. A kljub temu je pasivni DNS vir dodatnih informacij za raziskovalca.
Avtor: specialist Uralskega centra za varnostne sisteme
Vir: www.habr.com