Alan Adı Sistemi (DNS), "ussc.ru" gibi kullanıcı dostu adları IP adreslerine çeviren bir telefon rehberi gibidir. Protokolden bağımsız olarak neredeyse tüm iletişim oturumlarında DNS etkinliği mevcut olduğundan. Bu nedenle, DNS günlüğü bilgi güvenliği uzmanı için değerli bir veri kaynağıdır ve anormallikleri tespit etmelerine veya incelenen sistem hakkında ek veriler elde etmelerine olanak tanır.
2004 yılında Florian Weimer, aşağıdaki verilere erişim sağlayabilen, indeksleme ve arama yeteneği ile DNS veri değişikliklerinin geçmişini geri yüklemenize olanak tanıyan Pasif DNS adı verilen bir günlük kaydı yöntemi önerdi:
- Alan adı
- Talep edilen alan adının IP adresi
- Yanıtın tarihi ve saati
- Yanıt Türü
- vb
Pasif DNS verileri, yerleşik modüller aracılığıyla özyinelemeli DNS sunucularından veya bölgeden sorumlu DNS sunucularından gelen yanıtların engellenmesi yoluyla toplanır.
Şekil 1. Pasif DNS (siteden alınmıştır) )
Pasif DNS'in özelliği, müşterinin IP adresini kaydetmeye gerek olmamasıdır, bu da kullanıcı gizliliğinin korunmasına yardımcı olur.
Şu anda Pasif DNS verilerine erişim sağlayan birçok hizmet bulunmaktadır:
şirket
İleri Görüş Güvenliği
VirusTotal
Riskli
SafeDNS
Güvenlik İzleri
Cisco
Giriş
İstek üzerine
Kayıt gerektirmez
Kayıt ücretsizdir
İstek üzerine
Kayıt gerektirmez
İstek üzerine
API
Günümüze
Günümüze
Günümüze
Günümüze
Günümüze
Günümüze
Müşteri varlığı
Günümüze
Günümüze
Günümüze
Yok
Yok
Yok
Veri toplamanın başlangıcı
2010 yıl
2013 yıl
2009 yıl
Yalnızca son 3 ayı görüntüler
2008 yıl
2006 yıl
Tablo 1. Pasif DNS verilerine erişimi olan hizmetler
Pasif DNS için kullanım örnekleri
Pasif DNS'yi kullanarak alan adları, NS sunucuları ve IP adresleri arasında ilişkiler kurabilirsiniz. Bu, incelenmekte olan sistemlerin haritalarını oluşturmanıza ve böyle bir haritadaki ilk keşiften şu ana kadar olan değişiklikleri izlemenize olanak tanır.
Pasif DNS aynı zamanda trafikteki anormalliklerin tespit edilmesini de kolaylaştırır. Örneğin, NS bölgelerindeki değişiklikleri ve A ve AAAA tipi kayıtlardaki değişiklikleri izlemek, C&C'yi algılama ve engellemeden gizlemek için tasarlanmış hızlı akış yöntemini kullanarak kötü amaçlı siteleri tanımlamanıza olanak tanır. Çünkü meşru alan adları (yük dengeleme için kullanılanlar hariç) IP adreslerini sık sık değiştirmez ve çoğu meşru bölge, NS sunucularını nadiren değiştirir.
Pasif DNS, sözlükler kullanılarak alt alan adlarının doğrudan numaralandırılmasının aksine, en egzotik alan adlarını bile bulmanıza olanak tanır, örneğin "222qmxacaiqaaaaazibq4aaidhmbqaaa0unDefinition7140c0.p.hoff.ru". Ayrıca bazen web sitesinin test edilen (ve savunmasız) alanlarını, geliştirici materyallerini vb. bulmanıza da olanak tanır.
Pasif DNS kullanarak bir e-postadaki bağlantıyı inceleme
Şu anda spam, bir saldırganın kurbanın bilgisayarına sızmasının veya gizli bilgilerini çalmasının ana yollarından biridir. Bu yöntemin etkinliğini değerlendirmek için böyle bir e-postadaki bağlantıyı Pasif DNS kullanarak incelemeye çalışalım.
Şekil 2. Spam e-posta
Bu mektuptaki bağlantı, otomatik olarak ikramiye toplamayı ve para almayı teklif eden magnit-boss.rocks sitesine yönlendirdi:
Şekil 3. magnit-boss.rocks etki alanında barındırılan sayfa
Bu sitenin incelenmesi için kullanıldı , zaten 3 hazır istemcisi var , и .
Öncelikle bu alan adının tüm geçmişini öğreneceğiz, bunun için şu komutu kullanacağız:
pt-client pdns --query magnit-boss.rocks
Bu komut, bu etki alanı adıyla ilişkili tüm DNS çözümlemeleri hakkındaki bilgileri döndürecektir.
Şekil 4. Riskiq API'sinden gelen yanıt
API'den gelen yanıtı daha görsel bir forma getirelim:
Şekil 5. Yanıttaki tüm girişler
Daha fazla araştırma yapmak için, 01.08.2019/92.119.113.112/85.143.219.65 tarihinde mektubun alındığı tarihte bu alan adının çözümlendiği IP adreslerini aldık, bu IP adresleri şu adreslerdir: XNUMX ve XNUMX.
Komutu kullanarak:
pt-istemci pdn'leri --query
verilen IP adresleriyle ilişkili tüm alan adlarını alabilirsiniz.
92.119.113.112 IP adresi, bu IP adresine çözümlenen 42 benzersiz alan adına sahiptir; bunların arasında aşağıdaki adlar yer almaktadır:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- ve diğerleri
85.143.219.65 IP adresi, bu IP adresine çözümlenen 44 benzersiz alan adına sahiptir; bunların arasında aşağıdaki adlar yer almaktadır:
- cvv2.name (kredi kartı bilgilerini satan web sitesi)
- emaills.world
- www.mailru.space
- ve diğerleri
Bu alan adlarıyla bağlantılar kimlik avına yol açıyor, ancak biz nazik insanlara inanıyoruz, o halde 332 ruble bonus almayı deneyelim mi? “EVET” butonuna tıkladıktan sonra site, hesabın kilidini açmak için karttan 501.72 ruble aktarmamızı istiyor ve veri girişi için bizi as-torpay.info sitesine gönderiyor.
Şekil 6. ac-pay2day.net sitesinin ana sayfası
Yasal bir siteye benziyor, bir https sertifikası var ve ana sayfa bu ödeme sistemini sitenize bağlamayı teklif ediyor, ancak ne yazık ki tüm bağlantı bağlantıları çalışmıyor. Bu alan adı yalnızca 1 ip adresine çözümlenir - 190.115.19.74. Buna karşılık, bu IP adresine çözümlenen 1475 benzersiz alan adı vardır; bunlara aşağıdakiler de dahildir:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- ve diğerleri
Görebildiğimiz gibi, Pasif DNS, incelenen kaynak hakkında hızlı ve verimli bir şekilde veri toplamanıza ve hatta kişisel verileri çalmaya yönelik tüm planı, alınmasından muhtemel satış yerine kadar ortaya çıkarmanıza olanak tanıyan bir tür damga oluşturmanıza olanak tanır.
Şekil 7. İncelenen sistemin haritası
Her şey istediğimiz kadar pembe değil. Örneğin bu tür araştırmalar CloudFlare veya benzeri servislere kolaylıkla zarar verebilir. Ve toplanan veritabanının etkinliği, Pasif DNS verilerinin toplanmasına yönelik modülden geçen DNS isteklerinin sayısına büyük ölçüde bağlıdır. Bununla birlikte Pasif DNS araştırmacı için ek bilgi kaynağıdır.
Yazar: Ural Güvenlik Sistemleri Merkezi Uzmanı
Kaynak: habr.com