Mfumo wa Jina la Kikoa (DNS) ni kama kitabu cha simu ambacho hutafsiri majina yanayofaa mtumiaji kama "ussc.ru" hadi anwani za IP. Kwa kuwa shughuli za DNS zipo karibu na vipindi vyote vya mawasiliano, bila kujali itifaki. Kwa hivyo, ukataji wa data kwenye DNS ni chanzo muhimu cha data kwa mtaalamu wa usalama wa habari, na kuwaruhusu kugundua hitilafu au kupata data ya ziada kuhusu mfumo unaochunguzwa.
Mnamo 2004, Florian Weimer alipendekeza njia ya ukataji miti inayoitwa Passive DNS, ambayo hukuruhusu kurejesha historia ya mabadiliko ya data ya DNS na uwezo wa kuorodhesha na kutafuta, ambayo inaweza kutoa ufikiaji wa data ifuatayo:
- Jina la kikoa
- Anwani ya IP ya jina la kikoa lililoombwa
- Tarehe na wakati wa kujibu
- Aina ya majibu
- nk
Data ya Passive DNS inakusanywa kutoka kwa seva za DNS zinazojirudia kwa moduli zilizojengewa ndani au kwa kukatiza majibu kutoka kwa seva za DNS zinazohusika na eneo.
Kielelezo 1. Passive DNS (imechukuliwa kutoka kwenye tovuti )
Upekee wa Passive DNS ni kwamba hakuna haja ya kusajili anwani ya IP ya mteja, ambayo husaidia kulinda faragha ya mtumiaji.
Kwa sasa, kuna huduma nyingi zinazotoa ufikiaji wa data ya Passive DNS:
kampuni
Usalama wa kuona mbali
VirusTotal
Hatari
SalamaDNS
UsalamaTrails
Cisco
Ufikiaji
Kwa ombi
Haihitaji usajili
Usajili ni bure
Kwa ombi
Haihitaji usajili
Kwa ombi
API
Wasilisha
Wasilisha
Wasilisha
Wasilisha
Wasilisha
Wasilisha
Uwepo wa mteja
Wasilisha
Wasilisha
Wasilisha
Hakuna
Hakuna
Hakuna
Kuanza kwa ukusanyaji wa data
2010 mwaka
2013 mwaka
2009 mwaka
Inaonyesha miezi 3 iliyopita pekee
2008 mwaka
2006 mwaka
Jedwali 1. Huduma zilizo na ufikiaji wa data ya Passive DNS
Tumia kesi kwa Passive DNS
Kwa kutumia Passive DNS, unaweza kujenga uhusiano kati ya majina ya vikoa, seva za NS na anwani za IP. Hii hukuruhusu kuunda ramani za mifumo inayochunguzwa na kufuatilia mabadiliko katika ramani kama hiyo kutoka ugunduzi wa kwanza hadi wakati wa sasa.
DNS tulivu pia hurahisisha kugundua hitilafu katika trafiki. Kwa mfano, ufuatiliaji wa mabadiliko katika kanda za NS na rekodi za aina A na AAAA hukuruhusu kutambua tovuti hasidi kwa kutumia mbinu ya haraka, iliyoundwa kuficha C&C ili zisigunduliwe na kuzizuia. Kwa sababu majina halali ya vikoa (isipokuwa yale yanayotumiwa kusawazisha upakiaji) hayatabadilisha anwani zao za IP mara kwa mara, na maeneo mengi halali hubadilisha seva zao za NS mara chache.
DNS tulivu, tofauti na hesabu ya moja kwa moja ya vikoa vidogo kwa kutumia kamusi, hukuruhusu kupata hata majina ya kikoa ya kigeni, kwa mfano, "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Pia wakati mwingine hukuruhusu kupata maeneo ya majaribio (na yaliyo hatarini) ya tovuti, nyenzo za wasanidi programu, n.k.
Inachunguza kiungo kutoka kwa barua pepe kwa kutumia Passive DNS
Kwa sasa, barua taka ni mojawapo ya njia kuu ambazo mshambulizi hupenya kompyuta ya mwathirika au kuiba maelezo ya siri. Wacha tujaribu kuchunguza kiunga kutoka kwa barua pepe kama hiyo kwa kutumia Passive DNS ili kutathmini ufanisi wa njia hii.
Kielelezo 2. Barua pepe ya barua taka
Kiungo kutoka kwa barua hii kilipelekea tovuti ya magnit-boss.rocks, ambayo ilijitolea kukusanya kiotomatiki mafao na kupokea pesa:
Kielelezo 3. Ukurasa unapangishwa kwenye kikoa cha magnit-boss.rocks
Kwa ajili ya utafiti wa tovuti hii ilitumika , ambayo tayari ina wateja 3 tayari , ΠΈ .
Kwanza kabisa, tutajua historia nzima ya jina la kikoa hiki, kwa hili tutatumia amri:
pt-client pdns --query magnit-boss.rocks
Amri hii itarejesha taarifa kuhusu maazimio yote ya DNS yanayohusiana na jina la kikoa hiki.
Kielelezo 4. Majibu kutoka kwa API ya Riskiq
Wacha tulete majibu kutoka kwa API kwa fomu inayoonekana zaidi:
Kielelezo 5. Maingizo yote kutoka kwa jibu
Kwa utafiti zaidi, tulichukua anwani za IP ambazo jina la kikoa hiki lilikuwa limetatuliwa wakati barua ilipopokelewa tarehe 01.08.2019/92.119.113.112/85.143.219.65, anwani hizo za IP ni anwani zifuatazo XNUMX na XNUMX.
Kwa kutumia amri:
pt-client pdns --query
unaweza kupata majina yote ya kikoa ambayo yanahusishwa na anwani zilizopewa za IP.
Anwani ya IP 92.119.113.112 ina majina 42 ya kipekee ya vikoa ambayo yametatuliwa kwa anwani hii ya IP, kati ya ambayo ni majina yafuatayo:
- sumaku-bosi.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- na wengine
Anwani ya IP 85.143.219.65 ina majina 44 ya kipekee ya vikoa ambayo yametatuliwa kwa anwani hii ya IP, kati ya ambayo ni majina yafuatayo:
- cvv2.name (tovuti ya kuuza data ya kadi ya mkopo)
- barua pepe.ulimwengu
- www.mailru.space
- na wengine
Uunganisho na majina haya ya vikoa husababisha ulaghai, lakini tunaamini watu wema, kwa hivyo hebu tujaribu kupata bonasi ya rubles 332? Baada ya kubofya kitufe cha "NDIYO", tovuti inatuuliza kuhamisha rubles 501.72 kutoka kwa kadi ili kufungua akaunti na kututuma kwenye tovuti as-torpay.info ili kuingiza data.
Mchoro 6. Ukurasa kuu wa tovuti ac-pay2day.net
Inaonekana kama tovuti ya kisheria, kuna cheti cha https, na ukurasa kuu unatoa kuunganisha mfumo huu wa malipo kwenye tovuti yako, lakini, ole, viungo vyote vya kuunganisha havifanyi kazi. Jina la kikoa hiki linatatuliwa kwa anwani 1 tu ya ip - 190.115.19.74. Kwa upande wake, ina majina 1475 ya kipekee ya kikoa ambayo yanatatua kwa anwani hii ya IP, pamoja na majina kama vile:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- na wengine
Kama tunavyoona, Passive DNS hukuruhusu kukusanya data kwa haraka na kwa ufanisi kuhusu rasilimali inayosomwa na hata kuunda aina ya alama ambayo hukuruhusu kufichua mpango mzima wa kuiba data ya kibinafsi, kutoka kwa risiti yake hadi mahali panapoweza kuuza.
Kielelezo 7. Ramani ya mfumo unaofanyiwa utafiti
Sio kila kitu ni cha kupendeza kama tungependa. Kwa mfano, uchunguzi kama huo unaweza kuvunjika kwa urahisi kwenye CloudFlare au huduma kama hizo. Na ufanisi wa hifadhidata iliyokusanywa inategemea sana idadi ya maombi ya DNS kupita kwenye moduli ya kukusanya data ya Passive DNS. Hata hivyo, Passive DNS ni chanzo cha maelezo ya ziada kwa mtafiti.
Mwandishi: Mtaalamu wa Kituo cha Ural cha Mifumo ya Usalama
Chanzo: mapenzi.com