主持人 > 博客 > 管理 > 分析师手中的被动 DNS

分析师手中的被动 DNS

域名系统 (DNS) 就像一本电话簿,可将用户友好的名称(如“ussc.ru”)转换为 IP 地址。 由于 DNS 活动几乎存在于所有通信会话中,而与协议无关。 因此,DNS 日志记录对于信息安全专家来说是宝贵的数据来源,使他们能够检测异常或获取有关所研究系统的其他数据。

2004 年,Florian Weimer 提出了一种名为 Passive DNS 的日志记录方法,该方法允许您通过索引和搜索的能力来恢复 DNS 数据更改的历史记录,从而可以提供对以下数据的访问:

  • 域名
  • 请求域名的IP地址
  • 回复日期和时间
  • 响应类型
  • 等等

被动 DNS 的数据是通过内置模块从递归 DNS 服务器收集的,或者通过拦截负责该区域的 DNS 服务器的响应来收集的。

分析师手中的被动 DNS

图 1. 被动 DNS(取自网站 视讯网)

被动DNS的一个特点是不需要注册客户端的IP地址,这有助于保护用户隐私。

目前,有许多服务提供对被动 DNS 数据的访问:

域名系统数据库
VirusTotal
被动总
章鱼
安全路线
保护伞调查

公司
远见安全
VirusTotal
有风险
SafeDNS
安全路线
思科

访问
根据要求
不需要注册
注册免费
根据要求
不需要注册
根据要求

API
目前
目前
目前
目前
目前
目前

客户的可用性
目前
目前
目前
没有
没有
没有

开始数据收集
今年2010
今年2013
今年2009
仅显示最近 3 个月
今年2008
今年2006

表 1. 可以访问被动 DNS 数据的服务

被动 DNS 的用例

使用被动 DNS,您可以在域名、NS 服务器和 IP 地址之间建立连接。 这使您可以构建所研究系统的地图,并跟踪此类地图从第一次发现到当前时刻的变化。

被动 DNS 还可以更轻松地检测流量异常。 例如,通过跟踪 NS 区域的变化以及 A 类和 AAAA 类记录,您可以识别使用快速通量方法的恶意站点,该方法旨在隐藏 C&C,使其免遭检测和阻止。 因为合法域名(除了用于负载平衡的域名)不会经常更改其 IP 地址,并且大多数合法区域很少更改其 NS 服务器。

与使用字典直接搜索子域相比,被动 DNS 甚至可以让您找到最奇特的域名,例如“222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”。 有时它还允许您找到网站的测试(和易受攻击的)区域、开发人员材料等。

使用被动 DNS 研究电子邮件中的链接

目前,垃圾邮件是攻击者渗透受害者计算机或窃取机密信息的主要方式之一。 让我们尝试使用被动 DNS 检查此类信件的链接,以评估此方法的有效性。

分析师手中的被动 DNS

图 2. 垃圾邮件

这封信中的链接指向 magni-boss.rocks 网站,该网站提供自动收集奖金和收款的功能:

分析师手中的被动 DNS

图 3. 域 magni-boss.rocks 上托管的页面

为了研究这个网站,我使用了 API 风险,已经有 3 个现成的客户端 蟒蛇, 红宝石 и .

首先,我们将找出该域名的整个历史记录,为此我们将使用以下命令:

pt-client pdns —查询 Magnet-boss.rocks

此命令将显示与该域名关联的所有 DNS 解析的信息。

分析师手中的被动 DNS

图 4. Riskiq API 的响应

让我们将 API 的响应转换为更直观的形式:

分析师手中的被动 DNS

图 5. 响应中的所有条目

为了进一步研究,我们在 01.08.2019 年 92.119.113.112 月 85.143.219.65 日收到信件时提取了该域名解析到的 IP 地址,这些 IP 地址是以下地址 XNUMX 和 XNUMX。

使用命令:

pt-client pdns --query

您可以获取与这些 IP 地址关联的所有域名。
IP地址92.119.113.112有42个唯一的域名解析到该IP地址,其中包括以下名称:

  • 磁力老板俱乐部
  • igrovie-avtomaty.me
  • pro-x-审计.xyz
  • zep3-www.xyz

IP 地址 85.143.219.65 有 44 个解析到该 IP 地址的唯一域名,其中包括以下名称:

  • cvv2.name(出售信用卡数据的网站)
  • 电子邮件世界
  • www.mailru.space

与这些域名的连接暗示网络钓鱼,但我们相信好人,所以我们尝试获得 332 卢布的奖金? 点击“YES”按钮后,该网站要求我们从卡中转出 501.72 卢布以解锁帐户,并将我们发送到 as-torpay.info 网站输入数据。

分析师手中的被动 DNS

图 6. ac-pay2day.net 网站的主页

它看起来像一个合法的网站,有一个 https 证书,并且主页提供了将该支付系统连接到您的网站的功能,但是,唉,所有连接的链接都不起作用。 该域名仅解析为 1 个 IP 地址 - 190.115.19.74。 反过来,它有 1475 个解析到该 IP 地址的唯一域名,包括以下名称:

  • ac-pay2day.net
  • ac-payfit.com
  • as-manypay.com
  • fletkass.net
  • as-magicpay.com

正如我们所看到的,被动 DNS 允许您快速有效地收集有关所研究资源的数据,甚至构建一种指纹,使您能够发现窃取个人数据的整个计划,从收据到可能的销售地点。

分析师手中的被动 DNS

图 7. 所研究的系统图

并非一切都像我们希望的那样美好。 例如,此类调查在 CloudFlare 或类似服务上很容易失败。 收集数据库的有效性很大程度上取决于通过收集被动DNS数据的模块的DNS请求的数量。 但尽管如此,被动 DNS 仍然是研究人员的附加信息来源。

作者:乌拉尔安全系统中心专家

来源: habr.com

添加评论