Система доменних імен (DNS) є подобою телефонної книги, яка переводить зручні для користувача імена, такі як ussc.ru, в IP-адреси. Оскільки активність DNS є практично у всіх сеансах зв'язку, незалежно від протоколу. Таким чином, DNS логування є цінним джерелом даних для фахівця з інформаційної безпеки, що дозволяє їм виявляти аномалії або отримувати додаткові дані про досліджувану систему.
У 2004 році Флоріаном Ваймером було запропоновано такий метод логування, як Passive DNS, що дозволяє відновлювати історію змін DNS даних з можливістю індексації та пошуку, які можуть надавати доступ до таких даних:
- Доменне ім'я
- IP-адреса запитаного доменного імені
- Дату та час відповіді
- Тип відповіді
- тощо.
Дані Passive DNS збираються з рекурсивних DNS-серверів вбудованими модулями або за допомогою перехоплення відповідей від DNS-серверів, відповідальних за зону.
Малюнок 1. Passive DNS (взято з сайту
Особливість Passive DNS полягає у відсутності необхідності реєструвати IP-адресу клієнта, що дозволяє захистити конфіденційність користувачів.
На даний момент існує безліч сервісів, що надають доступ до Passive DNS даних:
Компанія
Farsight Security
VirusTotal
Riskiq
SafeDNS
SecurityTrails
Cisco
доступ
За запитом
Не потребує реєстрації
Вільна реєстрація
За запитом
Не потребує реєстрації
За запитом
API
присутній
присутній
присутній
присутній
присутній
присутній
Наявність клієнта
присутній
присутній
присутній
Відсутній
Відсутній
Відсутній
Початок збору даних
2010 рік
2013 рік
2009 рік
Відображає лише останні 3 місяці
2008 рік
2006 рік
Таблиця 1. Сервіси з доступом до Passive DNS даних
Варіанти використання Passive DNS
Використовуючи Passive DNS, можна відбудовувати зв'язки між доменними іменами, NS серверами та IP-адресами. Це дозволяє будувати карти досліджуваних систем та відстежувати зміни такої карти від першого виявлення до поточного моменту.
Також Passive DNS полегшує виявлення аномалій у трафіку. Наприклад, відстеження змін у NS зонах та записах типу A та AAAA дозволяє виявляти шкідливі сайти, які використовують метод fast flux, покликаний приховати C&C від виявлення та блокування. Оскільки легітимні доменні імена (за винятком тих, що використовуються для розподілу навантаження) не часто змінюватимуть свої IP-адреси, а більшість легітимних зон рідко змінюють свої NS сервери.
Passive DNS на відміну від прямого перебору піддоменів за словниками дозволяє знайти навіть найекзотичніші доменні імена, наприклад “222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. Також це іноді дозволяє знайти тестові (і вразливі) області веб-сайту, матеріали для розробників тощо.
Дослідження посилання з листа за допомогою Passive DNS
На даний момент спам є одним з основних способів, через який зловмисник проникає на комп'ютер жертви або краде конфіденційну інформацію. Спробуємо дослідити посилання такого листа, використовуючи Passive DNS, щоб оцінити ефективність цього методу.
Малюнок 2. Спам лист
Посилання з цього листа вело на сайт magnit-boss.rocks, який пропонував в автоматичному режимі збирати бонуси та отримувати гроші:
Рисунок 3. Сторінка розміщена на домені magnit-boss.rocks
Для дослідження цього сайту було використано
Насамперед дізнаємося всю історію цього доменного імені, для цього скористаємося командою:
pt-client pdns-query magnit-boss.rocks
Ця команда видасть інформацію про всі DNS резолви, пов'язані з цим доменним ім'ям.
Рисунок 4. Відповідь від API Riskiq
Наведемо відповідь від API до наочнішого вигляду:
Малюнок 5. Усі записи з відповіді
Для подальшого дослідження було взято IP-адреси, в які дане ім'я резолвилося на момент отримання листа 01.08.2019, такими IP-адресами є наступні адреси 92.119.113.112 та 85.143.219.65.
Використовуючи команду:
pt-client pdns-query
можна отримати всі доменні імена, пов'язані з даними IP-адресами.
IP-адреса 92.119.113.112 має 42 унікальні доменні імені, які резолвувалися в дану IP-адресу, серед яких є такі імена:
- magnit-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- та ін
IP-адреса 85.143.219.65 має 44 унікальні доменні імені, які резолвувалися в дану IP-адресу, серед яких є такі імена:
- cvv2.name (сайт для продажу даних кредитних карток)
- emaills.world
- www.mailru.space
- та ін
Зв'язки з цими доменними іменами наводять на фішинг, але ж ми віримо в добрих людей, тому спробуємо отримати бонус у розмірі 332 501.72 рублів? Після натискання на кнопку “ТАК”, сайт просить нас перевести 300 рублів з картки для розблокування рахунку та відправляє нас на сайт as-torpay.info для введення даних.
Малюнок 6. Головна сторінка сайту ac-pay2day.net
На вигляд легальний сайт, є https сертифікат, та й головна сторінка пропонує підключити дану платіжну систему до свого сайту, але, на жаль, всі посилання на підключення не працюють. Дане доменне ім'я резолвується тільки в 1 ip-адресу - 190.115.19.74. Він у свою чергу має 1475 унікальних доменних імен, які резолвувалися в цю IP-адресу, серед яких такі імена як:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- та ін
Як ми можемо бачити Passive DNS дозволяє досить швидко і ефективно зібрати дані про досліджуваний ресурс і навіть побудувати своєрідні відбитки, що дозволяють розкрити цілу схему крадіжки персональних даних, від його отримання до ймовірного місця продажу.
Малюнок 7. Карта досліджуваної системи
Не все так райдужно, як би нам хотілося. Наприклад, такі розслідування легко можуть розбитися про СloudFlare або подібні послуги. А ефективність бази, що збирається дуже залежить від кількості DNS запитів проходять через модуль для збору Passive DNS даних. Проте Passive DNS є джерелом додаткової інформації для дослідника.
Автор: Фахівець Уральського центру систем безпеки
Джерело: habr.com