Ang Domain Name System (DNS) ay parang phone book na nagsasalin ng mga user-friendly na pangalan tulad ng "ussc.ru" sa mga IP address. Dahil ang aktibidad ng DNS ay naroroon sa halos lahat ng mga sesyon ng komunikasyon, anuman ang protocol. Kaya, ang pag-log ng DNS ay isang mahalagang mapagkukunan ng data para sa mga espesyalista sa seguridad ng impormasyon, na nagpapahintulot sa kanila na makakita ng mga anomalya o makakuha ng karagdagang data tungkol sa system na pinag-aaralan.
Noong 2004, iminungkahi ni Florian Weimer ang isang paraan ng pag-log na tinatawag na Passive DNS, na nagbibigay-daan sa iyong ibalik ang kasaysayan ng mga pagbabago sa data ng DNS na may kakayahang mag-index at maghanap, na maaaring magbigay ng access sa sumusunod na data:
- Pangalan ng domain
- IP address ng hiniling na domain name
- Petsa at oras ng pagtugon
- Uri ng tugon
- at iba pa
Ang data para sa Passive DNS ay kinokolekta mula sa recursive DNS server sa pamamagitan ng mga built-in na module o sa pamamagitan ng pagharang ng mga tugon mula sa mga DNS server na responsable para sa zone.
Figure 1. Passive DNS (kinuha mula sa site )
Ang isang tampok ng Passive DNS ay hindi na kailangang irehistro ang IP address ng kliyente, na tumutulong na protektahan ang privacy ng user.
Sa ngayon, maraming serbisyo na nagbibigay ng access sa Passive DNS data:
kompanya
Farsight Security
VirusTotal
Riskiq
Ligtas
SecurityTrails
Cisco
Pag-access
Sa kahilingan
Hindi nangangailangan ng pagpaparehistro
Libre ang pagpaparehistro
Sa kahilingan
Hindi nangangailangan ng pagpaparehistro
Sa kahilingan
API
Kasalukuyan
Kasalukuyan
Kasalukuyan
Kasalukuyan
Kasalukuyan
Kasalukuyan
Availability ng isang kliyente
Kasalukuyan
Kasalukuyan
Kasalukuyan
Wala
Wala
Wala
Simula ng pangongolekta ng data
2010 taon
2013 taon
2009 taon
Ipinapakita lamang ang huling 3 buwan
2008 taon
2006 taon
Talahanayan 1. Mga serbisyong may access sa Passive DNS data
Gamitin ang Mga Case para sa Passive DNS
Gamit ang Passive DNS maaari kang bumuo ng mga koneksyon sa pagitan ng mga domain name, NS server at IP address. Nagbibigay-daan ito sa iyo na bumuo ng mga mapa ng mga system na pinag-aaralan at subaybayan ang mga pagbabago sa naturang mapa mula sa unang pagtuklas hanggang sa kasalukuyang sandali.
Pinapadali din ng passive DNS na makita ang mga anomalya sa trapiko. Halimbawa, ang pagsubaybay sa mga pagbabago sa mga NS zone at talaan ng uri A at AAAA ay nagbibigay-daan sa iyong tukuyin ang mga nakakahamak na site na gumagamit ng mabilis na paraan ng pagkilos, na idinisenyo upang itago ang C&C mula sa pagtuklas at pagharang. Dahil ang mga lehitimong domain name (maliban sa mga ginagamit para sa load balancing) ay hindi madalas na babaguhin ang kanilang mga IP address, at karamihan sa mga lehitimong zone ay bihirang baguhin ang kanilang mga NS server.
Ang passive DNS, sa kaibahan sa direktang paghahanap ng mga subdomain gamit ang mga diksyunaryo, ay nagbibigay-daan sa iyong mahanap kahit ang pinaka-exotic na domain name, halimbawa "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Nagbibigay-daan din ito sa iyo kung minsan na makahanap ng mga pagsubok (at mahina) na mga lugar ng website, mga materyales ng developer, atbp.
Pagsasaliksik ng link mula sa isang email gamit ang Passive DNS
Sa kasalukuyan, ang spam ay isa sa mga pangunahing paraan kung saan nakapasok ang isang umaatake sa computer ng biktima o nagnanakaw ng kumpidensyal na impormasyon. Subukan nating suriin ang link mula sa naturang sulat gamit ang Passive DNS upang suriin ang pagiging epektibo ng pamamaraang ito.
Figure 2. Spam email
Ang link mula sa liham na ito ay humantong sa site na magnit-boss.rocks, na nag-alok na awtomatikong mangolekta ng mga bonus at makatanggap ng pera:
Figure 3. Pahina na naka-host sa domain na magnit-boss.rocks
Upang pag-aralan ang site na ito, ginamit ko , na mayroon nang 3 ready-made na kliyente , ΠΈ .
Una sa lahat, malalaman natin ang buong kasaysayan ng domain name na ito, para dito gagamitin natin ang command:
pt-client pdns βquery magnet-boss.rocks
Ang utos na ito ay magpapakita ng impormasyon tungkol sa lahat ng paglutas ng DNS na nauugnay sa domain name na ito.
Figure 4. Tugon mula sa Riskiq API
Ilagay natin ang tugon mula sa API sa isang mas visual na anyo:
Figure 5. Lahat ng mga entry mula sa tugon
Para sa karagdagang pananaliksik, kinuha namin ang mga IP address kung saan naresolba ang domain name na ito noong natanggap ang sulat noong 01.08.2019/92.119.113.112/85.143.219.65, ang mga naturang IP address ay ang mga sumusunod na address XNUMX at XNUMX.
Gamit ang command:
pt-client pdns --query
maaari mong makuha ang lahat ng mga domain name na nauugnay sa mga IP address na ito.
Ang IP address na 92.119.113.112 ay mayroong 42 natatanging domain name na tumutugon sa IP address na ito, kung saan ay ang mga sumusunod na pangalan:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- at iba pa
Ang IP address na 85.143.219.65 ay mayroong 44 na natatanging domain name na tumutugon sa IP address na ito, kung saan ay ang mga sumusunod na pangalan:
- cvv2.name (site para sa pagbebenta ng data ng credit card)
- emaills.world
- www.mailru.space
- at iba pa
Ang mga koneksyon sa mga domain name na ito ay nagmumungkahi ng phishing, ngunit naniniwala kami sa mabubuting tao, kaya subukan nating makakuha ng bonus na 332 rubles? Pagkatapos mag-click sa pindutang "OO", hinihiling sa amin ng site na maglipat ng 501.72 rubles mula sa card upang i-unlock ang account at ipadala kami sa site na as-torpay.info upang magpasok ng data.
Figure 6. Home page ng site na ac-pay2day.net
Mukhang isang legal na site, mayroong isang https certificate, at ang pangunahing pahina ay nag-aalok upang ikonekta ang sistema ng pagbabayad na ito sa iyong site, ngunit, sayang, ang lahat ng mga link upang kumonekta ay hindi gumagana. Ang domain name na ito ay nagreresulta sa 1 IP address lamang - 190.115.19.74. Ito naman, ay mayroong 1475 natatanging domain name na tumutugon sa IP address na ito, kabilang ang mga pangalan gaya ng:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- at iba pa
Tulad ng nakikita natin, pinapayagan ka ng Passive DNS na mabilis at mahusay na mangolekta ng data tungkol sa mapagkukunang pinag-aaralan at kahit na bumuo ng isang uri ng fingerprint na nagbibigay-daan sa iyo upang matuklasan ang isang buong pamamaraan para sa pagnanakaw ng personal na data, mula sa pagtanggap nito hanggang sa posibleng lugar ng pagbebenta.
Larawan 7. Mapa ng sistemang pinag-aaralan
Hindi lahat ay kasing-rosas ng gusto natin. Halimbawa, ang mga naturang pagsisiyasat ay madaling mabigo sa CloudFlare o mga katulad na serbisyo. At ang pagiging epektibo ng nakolektang database ay lubos na nakasalalay sa bilang ng mga kahilingan sa DNS na dumadaan sa module para sa pagkolekta ng Passive DNS data. Ngunit gayunpaman, ang Passive DNS ay isang mapagkukunan ng karagdagang impormasyon para sa mananaliksik.
May-akda: Espesyalista ng Ural Center para sa Security Systems
Pinagmulan: www.habr.com