Domen nomlari tizimi (DNS) "ussc.ru" kabi foydalanuvchilar uchun qulay nomlarni IP manzillarga tarjima qiladigan telefon kitobiga o'xshaydi. DNS faolligi protokoldan qat'i nazar, deyarli barcha aloqa seanslarida mavjud bo'lgani uchun. Shunday qilib, DNS jurnali axborot xavfsizligi bo'yicha mutaxassis uchun qimmatli ma'lumotlar manbai bo'lib, ularga anomaliyalarni aniqlash yoki tekshirilayotgan tizim haqida qo'shimcha ma'lumotlarni olish imkonini beradi.
2004 yilda Florian Veymer Passiv DNS deb nomlangan jurnalga yozish usulini taklif qildi, bu sizga quyidagi ma'lumotlarga kirishni ta'minlaydigan DNS ma'lumotlarining o'zgarishi tarixini indekslash va qidirish qobiliyati bilan tiklashga imkon beradi:
- Domen nomi
- So'ralgan domen nomining IP manzili
- Javob sanasi va vaqti
- Javob turi
- va hokazo.
Passiv DNS uchun ma'lumotlar rekursiv DNS serverlaridan o'rnatilgan modullar yoki zona uchun mas'ul bo'lgan DNS serverlarining javoblarini ushlab turish orqali yig'iladi.
Shakl 1. Passiv DNS (saytdan olingan )
Passiv DNS-ning o'ziga xosligi shundaki, mijozning IP-manzilini ro'yxatdan o'tkazishning hojati yo'q, bu foydalanuvchi maxfiyligini himoya qilishga yordam beradi.
Hozirgi vaqtda Passiv DNS ma'lumotlariga kirishni ta'minlaydigan ko'plab xizmatlar mavjud:
kompaniya
Farsight xavfsizligi
VirusTotal
Riskiq
Xavfsiz DNS
xavfsizlik yo'llari
Cisco
Kirish
Talab bo'yicha
Ro'yxatdan o'tishni talab qilmaydi
Roʻyxatdan oʻtish bepul
Talab bo'yicha
Ro'yxatdan o'tishni talab qilmaydi
Talab bo'yicha
API
Hozirgi
Hozirgi
Hozirgi
Hozirgi
Hozirgi
Hozirgi
Mijoz mavjudligi
Hozirgi
Hozirgi
Hozirgi
yo'q
yo'q
yo'q
Ma'lumotlarni yig'ishni boshlash
2010 yil
2013 yil
2009 yil
Faqat oxirgi 3 oyni ko'rsatadi
2008 yil
2006 yil
Jadval 1. Passiv DNS ma'lumotlariga kirish huquqiga ega xizmatlar
Passiv DNS uchun holatlardan foydalaning
Passiv DNS-dan foydalanib, siz domen nomlari, NS serverlari va IP manzillari o'rtasida munosabatlar o'rnatishingiz mumkin. Bu sizga o'rganilayotgan tizimlarning xaritalarini yaratish va bunday xaritadagi o'zgarishlarni birinchi kashfiyotdan hozirgi vaqtgacha kuzatish imkonini beradi.
Passiv DNS ham trafikdagi anomaliyalarni aniqlashni osonlashtiradi. Masalan, NS zonalaridagi o'zgarishlarni va A va AAAA tipidagi yozuvlarni kuzatish C&C ni aniqlash va bloklashdan yashirish uchun mo'ljallangan tezkor oqim usuli yordamida zararli saytlarni aniqlash imkonini beradi. Chunki qonuniy domen nomlari (yukni muvozanatlash uchun foydalaniladiganlar bundan mustasno) o'z IP manzillarini tez-tez o'zgartirmaydi va ko'pchilik qonuniy zonalar NS serverlarini kamdan-kam o'zgartiradi.
Passiv DNS, lug'atlardan foydalangan holda to'g'ridan-to'g'ri subdomenlarni ro'yxatga olishdan farqli o'laroq, hatto eng ekzotik domen nomlarini topishga imkon beradi, masalan, "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Shuningdek, u ba'zan veb-saytning sinov (va zaif) joylarini, ishlab chiquvchi materiallarini va boshqalarni topishga imkon beradi.
Passiv DNS yordamida elektron pochtadan havolani tekshirish
Hozirgi vaqtda spam tajovuzkorning jabrlanuvchining kompyuteriga kirib borishi yoki maxfiy ma'lumotlarni o'g'irlashning asosiy usullaridan biridir. Keling, ushbu usulning samaradorligini baholash uchun Passive DNS-dan foydalanib, bunday elektron pochtadan havolani ko'rib chiqishga harakat qilaylik.
Shakl 2. Spam elektron pochta
Ushbu xatdagi havola magnit-boss.rocks saytiga olib keldi, u avtomatik ravishda bonuslarni yig'ish va pul olishni taklif qildi:
Shakl 3. magnit-boss.rocks domenida joylashgan sahifa
Ushbu saytni o'rganish uchun foydalanilgan , unda allaqachon 3 ta tayyor mijoz mavjud , и .
Avvalo, biz ushbu domen nomining butun tarixini bilib olamiz, buning uchun biz buyruqdan foydalanamiz:
pt-client pdns --so'rov magnit-boss.rocks
Ushbu buyruq ushbu domen nomi bilan bog'liq barcha DNS ruxsatlari haqidagi ma'lumotlarni qaytaradi.
Shakl 4. Riskiq API dan javob
Keling, javobni API dan ko'proq vizual shaklga keltiraylik:
Rasm 5. Javobdagi barcha yozuvlar
Keyingi tadqiqotlar uchun biz ushbu domen nomi 01.08.2019 yilda xat olingan paytda hal qilingan IP manzillarini oldik, bunday IP manzillar quyidagi 92.119.113.112 va 85.143.219.65.
Buyruq yordamida:
pt-client pdns --so'rov
berilgan IP manzillar bilan bog'langan barcha domen nomlarini olishingiz mumkin.
92.119.113.112 IP-manzilida ushbu IP-manzilga hal qilingan 42 ta noyob domen nomlari mavjud, ular orasida quyidagi nomlar mavjud:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- va boshq
85.143.219.65 IP manzilida ushbu IP manzilga o'rnatilgan 44 ta noyob domen nomlari mavjud, ular orasida quyidagi nomlar mavjud:
- cvv2.name (kredit karta ma'lumotlarini sotish uchun veb-sayt)
- emaills.world
- www.mailru.space
- va boshq
Ushbu domen nomlari bilan aloqalar fishingga olib keladi, lekin biz mehribon odamlarga ishonamiz, shuning uchun 332 501.72 rubl bonus olishga harakat qilaylikmi? "HA" tugmasini bosgandan so'ng, sayt hisobni ochish uchun kartadan 300 rubl o'tkazishimizni so'raydi va ma'lumotlarni kiritish uchun bizni as-torpay.info saytiga yuboradi.
Rasm 6. ac-pay2day.net saytining bosh sahifasi
Bu qonuniy saytga o'xshaydi, https sertifikati mavjud va asosiy sahifa ushbu to'lov tizimini saytingizga ulashni taklif qiladi, ammo, afsuski, ulanish uchun barcha havolalar ishlamaydi. Ushbu domen nomi faqat 1 IP-manzilni hal qiladi - 190.115.19.74. U, o'z navbatida, ushbu IP manzilga mos keladigan 1475 ta noyob domen nomlariga ega, jumladan:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- va boshq
Ko'rib turganimizdek, Passiv DNS sizga o'rganilayotgan resurs haqida tez va samarali ma'lumotlarni to'plash va hatto shaxsiy ma'lumotlarni o'g'irlashning barcha sxemasini, uni olishdan tortib, sotiladigan joygacha ochishga imkon beruvchi o'ziga xos iz yaratish imkonini beradi.
Rasm 7. O'rganilayotgan tizim xaritasi
Hamma narsa biz xohlagan darajada pushti emas. Misol uchun, bunday tekshiruvlar CloudFlare yoki shunga o'xshash xizmatlarni osongina buzishi mumkin. Va to'plangan ma'lumotlar bazasining samaradorligi passiv DNS ma'lumotlarini yig'ish moduli orqali o'tadigan DNS so'rovlari soniga juda bog'liq. Shunga qaramay, Passiv DNS tadqiqotchi uchun qo'shimcha ma'lumot manbai hisoblanadi.
Muallif: Ural xavfsizlik tizimlari markazi mutaxassisi
Manba: www.habr.com