โปรโฮสต์ > บล็อก > การบริหาร > DNS แบบพาสซีฟอยู่ในมือของนักวิเคราะห์

DNS แบบพาสซีฟอยู่ในมือของนักวิเคราะห์

ระบบชื่อโดเมน (DNS) เปรียบเสมือนสมุดโทรศัพท์ที่แปลชื่อที่ใช้งานง่าย เช่น "ussc.ru" ให้เป็นที่อยู่ IP เนื่องจากกิจกรรม DNS มีอยู่ในเซสชันการสื่อสารเกือบทั้งหมด โดยไม่คำนึงถึงโปรโตคอล ดังนั้น การบันทึก DNS จึงเป็นแหล่งข้อมูลอันมีค่าสำหรับผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล ช่วยให้พวกเขาสามารถตรวจจับความผิดปกติหรือรับข้อมูลเพิ่มเติมเกี่ยวกับระบบภายใต้การตรวจสอบได้

ในปี 2004 Florian Weimer เสนอวิธีการบันทึกที่เรียกว่า Passive DNS ซึ่งช่วยให้คุณสามารถกู้คืนประวัติการเปลี่ยนแปลงข้อมูล DNS ด้วยความสามารถในการจัดทำดัชนีและค้นหาซึ่งสามารถเข้าถึงข้อมูลต่อไปนี้:

  • Доменноеимя
  • ที่อยู่ IP ของชื่อโดเมนที่ร้องขอ
  • วันที่และเวลาที่ตอบกลับ
  • ประเภทการตอบกลับ
  • เป็นต้น

ข้อมูลสำหรับ Passive DNS ถูกรวบรวมจากเซิร์ฟเวอร์ DNS แบบเรียกซ้ำโดยโมดูลในตัวหรือโดยการสกัดกั้นการตอบสนองจากเซิร์ฟเวอร์ DNS ที่รับผิดชอบโซน

DNS แบบพาสซีฟอยู่ในมือของนักวิเคราะห์

รูปที่ 1. Passive DNS (นำมาจากไซต์ ctovision.com)

ลักษณะเฉพาะของ Passive DNS คือไม่จำเป็นต้องลงทะเบียนที่อยู่ IP ของลูกค้า ซึ่งช่วยปกป้องความเป็นส่วนตัวของผู้ใช้

ในขณะนี้ มีบริการมากมายที่ให้การเข้าถึงข้อมูล Passive DNS:

ดีเอสดีบี
VirusTotal
ผลรวมแบบพาสซีฟ
ปลาหมึกยักษ์
เส้นทางการรักษาความปลอดภัย
อัมเบรลล่าสืบสวน

บริษัท
การรักษาความปลอดภัยสายตายาว
VirusTotal
ริสกีก
SafeDNS
เส้นทางการรักษาความปลอดภัย
ซิสโก้

เข้าไป
ตามคำขอ
ไม่ต้องลงทะเบียน
ลงทะเบียนฟรี
ตามคำขอ
ไม่ต้องลงทะเบียน
ตามคำขอ

API
นำเสนอ
นำเสนอ
นำเสนอ
นำเสนอ
นำเสนอ
นำเสนอ

การปรากฏตัวของลูกค้า
นำเสนอ
นำเสนอ
นำเสนอ
ไม่
ไม่
ไม่

จุดเริ่มต้นของการรวบรวมข้อมูล
ปี 2010
ปี 2013
ปี 2009
แสดงเฉพาะช่วง 3 เดือนที่ผ่านมา
ปี 2008
ปี 2006

ตารางที่ 1. บริการที่เข้าถึงข้อมูล Passive DNS

กรณีการใช้งานสำหรับ DNS แบบพาสซีฟ

เมื่อใช้ Passive DNS คุณสามารถสร้างความสัมพันธ์ระหว่างชื่อโดเมน เซิร์ฟเวอร์ NS และที่อยู่ IP ได้ สิ่งนี้ช่วยให้คุณสร้างแผนที่ของระบบที่กำลังศึกษาและติดตามการเปลี่ยนแปลงในแผนที่ดังกล่าวตั้งแต่การค้นพบครั้งแรกจนถึงช่วงเวลาปัจจุบัน

Passive DNS ยังช่วยให้ตรวจจับความผิดปกติในการรับส่งข้อมูลได้ง่ายขึ้น ตัวอย่างเช่น การติดตามการเปลี่ยนแปลงในโซน NS และบันทึกประเภท A และ AAAA ช่วยให้คุณสามารถระบุไซต์ที่เป็นอันตรายโดยใช้วิธีฟลักซ์ที่รวดเร็ว ซึ่งออกแบบมาเพื่อซ่อน C&C จากการตรวจจับและการบล็อก เนื่องจากชื่อโดเมนที่ถูกต้องตามกฎหมาย (ยกเว้นที่ใช้สำหรับการทำโหลดบาลานซ์) จะไม่เปลี่ยนที่อยู่ IP บ่อยครั้ง และโซนที่ถูกต้องตามกฎหมายส่วนใหญ่แทบจะไม่เปลี่ยนเซิร์ฟเวอร์ NS ของตน

Passive DNS ตรงกันข้ามกับการแจงนับโดเมนย่อยโดยตรงโดยใช้พจนานุกรม ช่วยให้คุณค้นหาแม้แต่ชื่อโดเมนที่แปลกใหม่ที่สุด เช่น “222qmxacaiqaaaaazibq4aaidhmbqaaa0undef7140c0.p.hoff.ru” บางครั้งยังช่วยให้คุณค้นหาพื้นที่ทดสอบ (และจุดอ่อน) ของเว็บไซต์ เอกสารสำหรับนักพัฒนา ฯลฯ

ตรวจสอบลิงก์จากอีเมลโดยใช้ Passive DNS

ในขณะนี้ สแปมเป็นหนึ่งในวิธีหลักที่ผู้โจมตีเจาะคอมพิวเตอร์ของเหยื่อหรือขโมยข้อมูลที่เป็นความลับ ลองตรวจสอบลิงก์จากอีเมลดังกล่าวโดยใช้ Passive DNS เพื่อประเมินประสิทธิภาพของวิธีนี้

DNS แบบพาสซีฟอยู่ในมือของนักวิเคราะห์

รูปที่ 2. อีเมลขยะ

ลิงก์จากจดหมายนี้นำไปสู่เว็บไซต์ magnit-boss.rocks ซึ่งเสนอให้รวบรวมโบนัสและรับเงินโดยอัตโนมัติ:

DNS แบบพาสซีฟอยู่ในมือของนักวิเคราะห์

รูปที่ 3 เพจที่โฮสต์บนโดเมน magnit-boss.rocks

สำหรับการศึกษาเว็บไซต์นี้จึงได้ใช้ Riskiq APIซึ่งมีลูกค้าสำเร็จรูปอยู่แล้ว 3 ราย หลาม, ทับทิม и สนิม.

ก่อนอื่น เราจะค้นหาประวัติทั้งหมดของชื่อโดเมนนี้ โดยเราจะใช้คำสั่ง:

pt-client pdns --query magnit-boss.rocks

คำสั่งนี้จะส่งคืนข้อมูลเกี่ยวกับการแก้ไข DNS ทั้งหมดที่เชื่อมโยงกับชื่อโดเมนนี้

DNS แบบพาสซีฟอยู่ในมือของนักวิเคราะห์

รูปที่ 4 การตอบสนองจาก Riskiq API

เรามานำการตอบสนองจาก API มาสู่รูปแบบที่มองเห็นได้มากขึ้น:

DNS แบบพาสซีฟอยู่ในมือของนักวิเคราะห์

รูปที่ 5 รายการทั้งหมดจากการตอบกลับ

สำหรับการวิจัยเพิ่มเติม เราได้นำที่อยู่ IP ซึ่งชื่อโดเมนนี้ได้รับการแก้ไขแล้ว ณ เวลาที่ได้รับจดหมายเมื่อวันที่ 01.08.2019/92.119.113.112/85.143.219.65 ที่อยู่ IP ดังกล่าวคือที่อยู่ต่อไปนี้ XNUMX และ XNUMX

การใช้คำสั่ง:

pt-client pdns --query

คุณสามารถรับชื่อโดเมนทั้งหมดที่เชื่อมโยงกับที่อยู่ IP ที่กำหนดได้
ที่อยู่ IP 92.119.113.112 มีชื่อโดเมนที่ไม่ซ้ำกัน 42 ชื่อซึ่งได้รับการแก้ไขเป็นที่อยู่ IP นี้ โดยมีชื่อดังต่อไปนี้:

  • แม่เหล็ก-bos.club
  • igrovie-automaty.me
  • pro-x-audit.xyz
  • zep3-www.xyz
  • และอื่น ๆ

ที่อยู่ IP 85.143.219.65 มีชื่อโดเมนที่ไม่ซ้ำกัน 44 ชื่อซึ่งได้รับการแก้ไขเป็นที่อยู่ IP นี้ โดยมีชื่อดังต่อไปนี้:

  • cvv2.name (เว็บขายข้อมูลบัตรเครดิต)
  • อีเมลล์.โลก
  • www.mailru.space
  • และอื่น ๆ

การเชื่อมต่อกับชื่อโดเมนเหล่านี้นำไปสู่การฟิชชิ่ง แต่เราเชื่อในคนใจดี ดังนั้นมาลองรับโบนัส 332 รูเบิลกันดูไหม หลังจากคลิกที่ปุ่ม "ใช่" ไซต์ขอให้เราโอนเงิน 501.72 รูเบิลจากการ์ดเพื่อปลดล็อคบัญชีและส่งเราไปที่เว็บไซต์ as-torpay.info เพื่อป้อนข้อมูล

DNS แบบพาสซีฟอยู่ในมือของนักวิเคราะห์

รูปที่ 6 หน้าหลักของเว็บไซต์ ac-pay2day.net

ดูเหมือนไซต์ถูกกฎหมาย มีใบรับรอง https และหน้าหลักเสนอให้เชื่อมต่อระบบการชำระเงินนี้กับไซต์ของคุณ แต่อนิจจาลิงก์ทั้งหมดที่จะเชื่อมต่อไม่ทำงาน ชื่อโดเมนนี้แก้ไขได้เพียง 1 ที่อยู่ IP - 190.115.19.74 ในทางกลับกัน มีชื่อโดเมนที่ไม่ซ้ำกัน 1475 ชื่อซึ่งแก้ไขเป็นที่อยู่ IP นี้ รวมถึงชื่อต่างๆ เช่น:

  • ac-pay2day.net
  • ac-payfit.com
  • as-manypay.com
  • fletkass.net
  • as-magicpay.com
  • และอื่น ๆ

ดังที่เราเห็น Passive DNS ช่วยให้คุณสามารถรวบรวมข้อมูลเกี่ยวกับทรัพยากรที่กำลังศึกษาได้อย่างรวดเร็วและมีประสิทธิภาพและแม้แต่สร้างสำนักพิมพ์ที่ช่วยให้คุณเปิดเผยแผนการทั้งหมดในการขโมยข้อมูลส่วนบุคคลตั้งแต่การรับไปจนถึงสถานที่ขาย

DNS แบบพาสซีฟอยู่ในมือของนักวิเคราะห์

รูปที่ 7 แผนที่ของระบบที่กำลังศึกษา

ไม่ใช่ทุกอย่างจะเป็นสีดอกกุหลาบอย่างที่เราต้องการ ตัวอย่างเช่น การสืบสวนดังกล่าวสามารถขัดขวาง CloudFlare หรือบริการที่คล้ายกันได้อย่างง่ายดาย และประสิทธิภาพของฐานข้อมูลที่รวบรวมนั้นขึ้นอยู่กับจำนวนคำขอ DNS ที่ส่งผ่านโมดูลเพื่อรวบรวมข้อมูล Passive DNS อย่างไรก็ตาม Passive DNS เป็นแหล่งข้อมูลเพิ่มเติมสำหรับนักวิจัย

ผู้แต่ง: ผู้เชี่ยวชาญของ Ural Center for Security Systems

ที่มา: will.com

เพิ่มความคิดเห็น