Domain Name System (DNS) är som en telefonbok som översätter användarvänliga namn som "ussc.ru" till IP-adresser. Eftersom DNS-aktivitet finns i nästan alla kommunikationssessioner, oavsett protokoll. Således är DNS-loggning en värdefull datakälla för informationssäkerhetsspecialister, vilket gör att de kan upptäcka anomalier eller få ytterligare data om systemet som studeras.
2004 föreslog Florian Weimer en loggningsmetod som heter Passiv DNS, som låter dig återställa historiken för DNS-dataändringar med möjligheten att indexera och söka, vilket kan ge tillgång till följande data:
- Domän namn
- IP-adressen för det begärda domännamnet
- Datum och tid för svar
- Svarstyp
- etc.
Data för passiv DNS samlas in från rekursiva DNS-servrar genom inbyggda moduler eller genom att fånga upp svar från DNS-servrar som ansvarar för zonen.
Figur 1. Passiv DNS (tagen från webbplatsen )
Det speciella med passiv DNS är att det inte finns något behov av att registrera klientens IP-adress, vilket hjälper till att skydda användarnas integritet.
För närvarande finns det många tjänster som ger tillgång till passiv DNS-data:
företaget
Farsight Security
Virustotal
Riskiq
Säker DNS
Säkerhetsspår
Cisco
Tillgång
på begäran
Kräver ingen registrering
Registrering är gratis
på begäran
Kräver ingen registrering
på begäran
API
Närvarande
Närvarande
Närvarande
Närvarande
Närvarande
Närvarande
En kunds tillgänglighet
Närvarande
Närvarande
Närvarande
Ingen
Ingen
Ingen
Start av datainsamling
2010 år
2013 år
2009 år
Visar endast de senaste 3 månaderna
2008 år
2006 år
Tabell 1. Tjänster med tillgång till passiv DNS-data
Användningsfall för passiv DNS
Med hjälp av passiv DNS kan du bygga kopplingar mellan domännamn, NS-servrar och IP-adresser. Detta gör att du kan bygga kartor över de system som studeras och spåra förändringar i en sådan karta från den första upptäckten till det aktuella ögonblicket.
Passiv DNS gör det också lättare att upptäcka avvikelser i trafiken. Till exempel kan spårning av ändringar i NS-zoner och poster av typ A och AAAA dig identifiera skadliga webbplatser som använder snabbflödesmetoden, utformad för att dölja C&C från upptäckt och blockering. Eftersom legitima domännamn (förutom de som används för lastbalansering) inte kommer att ändra sina IP-adresser ofta, och de flesta legitima zoner ändrar sällan sina NS-servrar.
Passiv DNS, i motsats till direkt sökning av underdomäner med hjälp av ordböcker, låter dig hitta även de mest exotiska domännamnen, till exempel "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Det låter dig också ibland hitta testande (och sårbara) områden på webbplatsen, utvecklarmaterial etc.
Undersöker en länk från ett e-postmeddelande med hjälp av passiv DNS
För tillfället är skräppost ett av de viktigaste sätten på vilka en angripare penetrerar ett offers dator eller stjäl konfidentiell information. Låt oss försöka undersöka länken från ett sådant e-postmeddelande med hjälp av passiv DNS för att utvärdera effektiviteten av denna metod.
Figur 2. Skräppost
Länken från detta brev ledde till sajten magnit-boss.rocks, som erbjöd sig att automatiskt samla in bonusar och ta emot pengar:
Figur 3. Sidan finns på domänen magnit-boss.rocks
För studien av denna webbplats användes , som redan har 3 färdiga kunder på , и .
Först och främst kommer vi att ta reda på hela historien för detta domännamn, för detta kommer vi att använda kommandot:
pt-klient pdns —fråga magnet-boss.rocks
Detta kommando visar information om alla DNS-lösningar som är associerade med detta domännamn.
Figur 4. Svar från Riskiq API
Låt oss sätta svaret från API:et i en mer visuell form:
Figur 5. Alla poster från svaret
För ytterligare forskning tog vi de IP-adresser som detta domännamn löste till när brevet togs emot den 01.08.2019/92.119.113.112/85.143.219.65, sådana IP-adresser är följande adresser XNUMX och XNUMX.
Använda kommandot:
pt-klient pdns --query
du kan få alla domännamn som är associerade med givna IP-adresser.
IP-adressen 92.119.113.112 har 42 unika domännamn som löser sig till denna IP-adress, bland vilka är följande namn:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- och andra
IP-adressen 85.143.219.65 har 44 unika domännamn som har lösts till denna IP-adress, bland vilka är följande namn:
- cvv2.name (webbplats för försäljning av kreditkortsdata)
- emaills.world
- www.mailru.space
- och andra
Anslutningar med dessa domännamn leder till nätfiske, men vi tror på snälla människor, så låt oss försöka få en bonus på 332 501.72 rubel? Efter att ha klickat på knappen "JA" ber webbplatsen oss att överföra 300 rubel från kortet för att låsa upp kontot och skickar oss till webbplatsen as-torpay.info för att ange data.
Figur 6. Huvudsidan för sajten ac-pay2day.net
Det ser ut som en laglig webbplats, det finns ett https-certifikat och huvudsidan erbjuder att ansluta detta betalningssystem till din webbplats, men tyvärr fungerar inte alla länkar för att ansluta. Detta domännamn löser sig till endast 1 IP-adress - 190.115.19.74. Den har i sin tur 1475 unika domännamn som löser sig till denna IP-adress, inklusive sådana namn som:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- och andra
Som vi kan se låter passiv DNS dig snabbt och effektivt samla in data om resursen som studeras och till och med bygga ett slags avtryck som låter dig avslöja hela systemet för att stjäla personuppgifter, från mottagandet till den troliga försäljningsplatsen.
Figur 7. Karta över det system som studeras
Allt är inte så rosa som vi skulle vilja. Till exempel kan sådana undersökningar lätt misslyckas på CloudFlare eller liknande tjänster. Och effektiviteten av den insamlade databasen beror mycket på antalet DNS-förfrågningar som passerar genom modulen för insamling av passiv DNS-data. Men inte desto mindre är passiv DNS en källa till ytterligare information för forskaren.
Författare: Specialist på Ural Center for Security Systems
Källa: will.com