Hệ thống tên miền (DNS) giống như một danh bạ điện thoại dịch các tên thân thiện với người dùng như "ussc.ru" thành địa chỉ IP. Vì hoạt động DNS có mặt trong hầu hết các phiên giao tiếp, bất kể giao thức là gì. Do đó, ghi nhật ký DNS là nguồn dữ liệu có giá trị cho chuyên gia bảo mật thông tin, cho phép họ phát hiện sự bất thường hoặc thu thập dữ liệu bổ sung về hệ thống đang được điều tra.
Vào năm 2004, Florian Weimer đã đề xuất một phương pháp ghi nhật ký có tên là Passive DNS, cho phép bạn khôi phục lịch sử thay đổi dữ liệu DNS với khả năng lập chỉ mục và tìm kiếm, có thể cung cấp quyền truy cập vào dữ liệu sau:
- Tên miền
- Địa chỉ IP của tên miền được yêu cầu
- Ngày và thời gian trả lời
- loại phản hồi
- vv
Dữ liệu cho DNS thụ động được thu thập từ các máy chủ DNS đệ quy bằng các mô-đun tích hợp sẵn hoặc bằng cách chặn các phản hồi từ các máy chủ DNS chịu trách nhiệm về vùng.
Hình 1. Passive DNS (lấy từ trang )
Điểm đặc biệt của Passive DNS là không cần đăng ký địa chỉ IP của máy khách, giúp bảo vệ quyền riêng tư của người dùng.
Hiện tại, có nhiều dịch vụ cung cấp quyền truy cập vào dữ liệu DNS thụ động:
công ty
An ninh tầm nhìn xa
VirusTotal
Rủi ro
DNS an toàn
đường mòn an ninh
Cisco
Truy cập
Theo yêu cầu
Không yêu cầu đăng ký
Đăng ký là miễn phí
Theo yêu cầu
Không yêu cầu đăng ký
Theo yêu cầu
API
Hiện tại
Hiện tại
Hiện tại
Hiện tại
Hiện tại
Hiện tại
sự hiện diện của khách hàng
Hiện tại
Hiện tại
Hiện tại
Không ai
Không ai
Không ai
Bắt đầu thu thập dữ liệu
2010 năm
2013 năm
2009 năm
Chỉ hiển thị 3 tháng qua
2008 năm
2006 năm
Bảng 1. Các dịch vụ có quyền truy cập vào dữ liệu DNS thụ động
Các trường hợp sử dụng cho DNS thụ động
Sử dụng DNS thụ động, bạn có thể xây dựng mối quan hệ giữa tên miền, máy chủ NS và địa chỉ IP. Điều này cho phép bạn xây dựng bản đồ của các hệ thống đang được nghiên cứu và theo dõi các thay đổi trong bản đồ đó từ lần khám phá đầu tiên cho đến thời điểm hiện tại.
DNS thụ động cũng giúp phát hiện sự bất thường trong lưu lượng truy cập dễ dàng hơn. Ví dụ: theo dõi các thay đổi trong vùng NS và bản ghi loại A và AAAA cho phép bạn xác định các trang web độc hại bằng phương pháp thông lượng nhanh, được thiết kế để ẩn C&C khỏi bị phát hiện và chặn. Bởi vì các tên miền hợp pháp (ngoại trừ những tên được sử dụng để cân bằng tải) sẽ không thay đổi địa chỉ IP thường xuyên và hầu hết các vùng hợp pháp hiếm khi thay đổi máy chủ NS của chúng.
DNS thụ động, trái ngược với việc liệt kê trực tiếp các tên miền phụ bằng từ điển, cho phép bạn tìm ngay cả những tên miền kỳ lạ nhất, ví dụ: “222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. Đôi khi nó cũng cho phép bạn tìm các khu vực thử nghiệm (và dễ bị tổn thương) của trang web, tài liệu dành cho nhà phát triển, v.v.
Kiểm tra liên kết từ email bằng DNS thụ động
Hiện tại, thư rác là một trong những cách chính mà kẻ tấn công xâm nhập vào máy tính của nạn nhân hoặc đánh cắp thông tin bí mật. Hãy thử kiểm tra liên kết từ một email như vậy bằng DNS thụ động để đánh giá hiệu quả của phương pháp này.
Hình 2. Email rác
Liên kết từ bức thư này dẫn đến trang web magnit-boss.rocks, trang này đề nghị tự động thu tiền thưởng và nhận tiền:
Hình 3. Trang được lưu trữ trên miền magnit-boss.rocks
Đối với nghiên cứu của trang web này đã được sử dụng , đã có sẵn 3 ứng dụng khách trên , и .
Trước hết, chúng ta sẽ tìm hiểu toàn bộ lịch sử của tên miền này, để làm điều này, chúng ta sẽ sử dụng lệnh:
pt-client pdns --query magnit-boss.rocks
Lệnh này sẽ trả về thông tin về tất cả các độ phân giải DNS được liên kết với tên miền này.
Hình 4. Phản hồi từ API Riskiq
Hãy đưa phản hồi từ API sang dạng trực quan hơn:
Hình 5. Tất cả các mục từ phản hồi
Để nghiên cứu thêm, chúng tôi lấy các địa chỉ IP mà tên miền này đã phân giải tại thời điểm nhận được thư ngày 01.08.2019/92.119.113.112/85.143.219.65, các địa chỉ IP đó là các địa chỉ sau XNUMX và XNUMX.
Sử dụng lệnh:
pt-client pdns --query
bạn có thể lấy tất cả các tên miền được liên kết với các địa chỉ IP đã cho.
Địa chỉ IP 92.119.113.112 có 42 tên miền duy nhất đã phân giải thành địa chỉ IP này, trong đó có các tên sau:
- nam châm-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- và những người khác
Địa chỉ IP 85.143.219.65 có 44 tên miền duy nhất đã phân giải thành địa chỉ IP này, trong đó có các tên sau:
- cvv2.name (trang web bán dữ liệu thẻ tín dụng)
- emaills.world
- www.mailru.space
- và những người khác
Kết nối với những tên miền này dẫn đến lừa đảo, nhưng chúng tôi tin vào những người tử tế, vì vậy chúng ta hãy thử nhận số tiền thưởng là 332 rúp? Sau khi nhấp vào nút “CÓ”, trang web yêu cầu chúng tôi chuyển 501.72 rúp từ thẻ để mở khóa tài khoản và gửi chúng tôi đến trang web as-torpay.info để nhập dữ liệu.
Hình 6. Trang chính của trang web ac-pay2day.net
Nó trông giống như một trang web hợp pháp, có chứng chỉ https và trang chính đề nghị kết nối hệ thống thanh toán này với trang web của bạn, nhưng than ôi, tất cả các liên kết để kết nối đều không hoạt động. Tên miền này chỉ phân giải thành 1 địa chỉ ip - 190.115.19.74. Đổi lại, nó có 1475 tên miền duy nhất phân giải thành địa chỉ IP này, bao gồm các tên như:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- và những người khác
Như chúng ta có thể thấy, DNS thụ động cho phép bạn thu thập dữ liệu về tài nguyên đang nghiên cứu một cách nhanh chóng và hiệu quả và thậm chí xây dựng một loại dấu ấn cho phép bạn khám phá toàn bộ kế hoạch đánh cắp dữ liệu cá nhân, từ nơi nhận đến nơi bán có khả năng.
Hình 7. Bản đồ hệ thống đang nghiên cứu
Không phải mọi thứ đều màu hồng như chúng ta mong muốn. Ví dụ: các cuộc điều tra như vậy có thể dễ dàng bị phá vỡ trên CloudFlare hoặc các dịch vụ tương tự. Và hiệu quả của cơ sở dữ liệu được thu thập phụ thuộc rất nhiều vào số lượng truy vấn DNS đi qua mô-đun để thu thập dữ liệu DNS thụ động. Tuy nhiên, DNS thụ động là một nguồn thông tin bổ sung cho nhà nghiên cứu.
Tác giả: Chuyên gia của Trung tâm Hệ thống An ninh Ural
Nguồn: www.habr.com