Sistemi i emrave të domenit (DNS) është si një libër telefoni që përkthen emra miqësorë për përdoruesit si "ussc.ru" në adresa IP. Meqenëse aktiviteti DNS është i pranishëm pothuajse në të gjitha seancat e komunikimit, pavarësisht nga protokolli. Kështu, regjistrimi i DNS është një burim i vlefshëm i të dhënave për specialistin e sigurisë së informacionit, duke i lejuar ata të zbulojnë anomali ose të marrin të dhëna shtesë për sistemin nën hetim.
Në vitin 2004, Florian Weimer propozoi një metodë regjistrimi të quajtur DNS pasive, e cila ju lejon të rivendosni historinë e ndryshimeve të të dhënave DNS me aftësinë për të indeksuar dhe kërkuar, të cilat mund të ofrojnë akses në të dhënat e mëposhtme:
- Emri i domenit
- Adresa IP e emrit të domenit të kërkuar
- Data dhe ora e përgjigjes
- Lloji i përgjigjes
- etj
Të dhënat për DNS pasive mblidhen nga serverët DNS rekurzivë me anë të moduleve të integruara ose duke përgjuar përgjigjet nga serverët DNS përgjegjës për zonën.
Figura 1. DNS pasive (marrë nga faqja )
E veçanta e DNS pasive është se nuk ka nevojë të regjistrohet adresa IP e klientit, e cila ndihmon në mbrojtjen e privatësisë së përdoruesit.
Për momentin, ka shumë shërbime që ofrojnë qasje në të dhënat pasive DNS:
kompani
Siguria e largpamës
VirusTotal
Riskiq
SafeDNS
Udhëtimet e Sigurisë
Cisco
Aksesi
Ne kerkese
Nuk kërkon regjistrim
Regjistrimi është falas
Ne kerkese
Nuk kërkon regjistrim
Ne kerkese
API
E pranishme
E pranishme
E pranishme
E pranishme
E pranishme
E pranishme
Prania e klientit
E pranishme
E pranishme
E pranishme
Asnjë
Asnjë
Asnjë
Fillimi i mbledhjes së të dhënave
Viti 2010
Viti 2013
Viti 2009
Shfaq vetëm 3 muajt e fundit
Viti 2008
Viti 2006
Tabela 1. Shërbimet me akses në të dhënat pasive DNS
Përdorni raste për DNS pasive
Duke përdorur DNS pasive, mund të ndërtoni marrëdhënie midis emrave të domeneve, serverëve NS dhe adresave IP. Kjo ju lejon të ndërtoni harta të sistemeve në studim dhe të gjurmoni ndryshimet në një hartë të tillë nga zbulimi i parë deri në momentin aktual.
DNS pasive gjithashtu e bën më të lehtë zbulimin e anomalive në trafik. Për shembull, gjurmimi i ndryshimeve në zonat NS dhe regjistrimet e tipit A dhe AAAA ju lejon të identifikoni faqet me qëllim të keq duke përdorur metodën e fluksit të shpejtë, të krijuar për të fshehur C&C nga zbulimi dhe bllokimi. Sepse emrat e ligjshëm të domeneve (me përjashtim të atyre që përdoren për balancimin e ngarkesës) nuk do të ndryshojnë shpesh adresat e tyre IP dhe shumica e zonave legjitime rrallë ndryshojnë serverët e tyre NS.
DNS pasive, në kontrast me numërimin e drejtpërdrejtë të nëndimeneve duke përdorur fjalorë, ju lejon të gjeni edhe emrat më ekzotikë të domeneve, për shembull, "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Gjithashtu ndonjëherë ju lejon të gjeni zona testuese (dhe të cenueshme) të faqes në internet, materialet e zhvilluesit, etj.
Ekzaminimi i një lidhjeje nga një email duke përdorur DNS pasive
Për momentin, spam-i është një nga mënyrat kryesore në të cilën një sulmues depërton në kompjuterin e viktimës ose vjedh informacione konfidenciale. Le të përpiqemi të shqyrtojmë lidhjen nga një email i tillë duke përdorur DNS pasive për të vlerësuar efektivitetin e kësaj metode.
Figura 2. Email i padëshiruar
Lidhja nga kjo letër çoi në faqen magnit-boss.rocks, e cila ofroi të mblidhte automatikisht bonuse dhe të merrte para:
Figura 3. Faqja e vendosur në domenin magnit-boss.rocks
Për studimin e kësaj faqeje është përdorur , e cila tashmë ka 3 klientë të gatshëm , и .
Para së gjithash, ne do të zbulojmë të gjithë historinë e këtij emri domeni, për këtë ne do të përdorim komandën:
pt-klient pdns -- pyetje magnit-boss.rocks
Kjo komandë do të kthejë informacion për të gjitha rezolucionet DNS të lidhura me këtë emër domeni.
Figura 4. Përgjigja nga API Riskiq
Le ta sjellim përgjigjen nga API në një formë më vizuale:
Figura 5. Të gjitha shënimet nga përgjigja
Për kërkime të mëtejshme, ne morëm adresat IP në të cilat kishte zgjidhur ky emër domaini në momentin e marrjes së letrës më 01.08.2019/92.119.113.112/85.143.219.65, adresa të tilla IP janë adresat e mëposhtme XNUMX dhe XNUMX.
Duke përdorur komandën:
pt-klient pdns --query
ju mund të merrni të gjithë emrat e domeneve që janë të lidhur me adresat e dhëna IP.
Adresa IP 92.119.113.112 ka 42 emra unik domain që janë zgjidhur në këtë adresë IP, ndër të cilët janë emrat e mëposhtëm:
- magnit-boss.klub
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- dhe të tjerët
Adresa IP 85.143.219.65 ka 44 emra unikë domainesh që janë vendosur në këtë adresë IP, ndër të cilët janë emrat e mëposhtëm:
- cvv2.name (faqe interneti për shitjen e të dhënave të kartës së kreditit)
- emails.botë
- www.mailru.space
- dhe të tjerët
Lidhjet me këto emra domenesh çojnë në phishing, por ne besojmë në njerëz të sjellshëm, kështu që le të përpiqemi të marrim një bonus prej 332 rubla? Pasi klikojmë në butonin "PO", faqja na kërkon të transferojmë 501.72 rubla nga karta për të zhbllokuar llogarinë dhe na dërgon në sitin as-torpay.info për të futur të dhëna.
Figura 6. Faqja kryesore e faqes ac-pay2day.net
Duket si një faqe ligjore, ka një certifikatë https dhe faqja kryesore ofron për të lidhur këtë sistem pagese me faqen tuaj, por, mjerisht, të gjitha lidhjet për t'u lidhur nuk funksionojnë. Ky emër domaini zgjidhet në vetëm 1 adresë IP - 190.115.19.74. Ai, nga ana tjetër, ka 1475 emra unik domain që zgjidhen në këtë adresë IP, duke përfshirë emra të tillë si:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- dhe të tjerët
Siç mund ta shohim, DNS pasive ju lejon të mbledhni shpejt dhe me efikasitet të dhëna për burimin në studim dhe madje të ndërtoni një lloj ngulitjeje që ju lejon të zbuloni të gjithë skemën e vjedhjes së të dhënave personale, nga marrja e tij deri në vendin e mundshëm të shitjes.
Figura 7. Harta e sistemit në studim
Jo çdo gjë është aq rozë sa do të donim. Për shembull, hetime të tilla mund të shpërthejnë lehtësisht në CloudFlare ose shërbime të ngjashme. Dhe efektiviteti i bazës së të dhënave të mbledhur varet shumë nga numri i pyetjeve DNS që kalojnë nëpër modulin për mbledhjen e të dhënave pasive DNS. Sidoqoftë, DNS pasive është një burim informacioni shtesë për studiuesin.
Autor: Specialist i Qendrës Ural për Sistemet e Sigurisë
Burimi: www.habr.com