域名系統 (DNS) 就像一本電話簿,可將用戶友好的名稱(如“ussc.ru”)轉換為 IP 地址。 由於 DNS 活動幾乎存在於所有通信會話中,而與協議無關。 因此,DNS 日誌記錄對於信息安全專家來說是寶貴的數據來源,使他們能夠檢測異常或獲取有關正在調查的系統的其他數據。
2004 年,Florian Weimer 提出了一種名為 Passive DNS 的日誌記錄方法,該方法允許您通過索引和搜索的能力來恢復 DNS 數據更改的歷史記錄,從而可以提供對以下數據的訪問:
- 域名
- 請求域名的IP地址
- 回复日期和時間
- 響應類型
- 等等
被動 DNS 的數據是通過內置模塊或通過攔截負責該區域的 DNS 服務器的響應從遞歸 DNS 服務器收集的。
圖 1. 被動 DNS(取自網站 )
被動DNS的特點是不需要註冊客戶端的IP地址,這有助於保護用戶隱私。
目前,有許多服務提供對被動 DNS 數據的訪問:
公司
遠見安全
VirusTotal
里斯克
SafeDNS
安全路線
思科
使用權
根據要求
不需要註冊
註冊免費
根據要求
不需要註冊
根據要求
API
當下
當下
當下
當下
當下
當下
客戶光臨
當下
當下
當下
無
無
無
開始數據收集
2010年
2013年
2009年
僅顯示最近 3 個月
2008年
2006年
表 1. 可以訪問被動 DNS 數據的服務
被動 DNS 的用例
使用被動 DNS,您可以在域名、NS 服務器和 IP 地址之間建立關係。 這使您可以構建所研究系統的地圖,並跟踪此類地圖從第一次發現到當前時刻的變化。
被動 DNS 還可以更輕鬆地檢測流量異常。 例如,跟踪 NS 區域的變化以及 A 型和 AAAA 型記錄使您可以使用快速通量方法來識別惡意站點,該方法旨在隱藏 C&C,使其免遭檢測和阻止。 因為合法域名(用於負載平衡的域名除外)不會經常更改其 IP 地址,並且大多數合法區域很少更改其 NS 服務器。
與使用字典直接枚舉子域相比,被動 DNS 甚至可以讓您找到最奇特的域名,例如“222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”。 有時它還允許您找到網站的測試(和易受攻擊的)區域、開發人員材料等。
使用被動 DNS 檢查電子郵件中的鏈接
目前,垃圾郵件是攻擊者滲透受害者計算機或竊取機密信息的主要方式之一。 讓我們嘗試使用被動 DNS 檢查此類電子郵件中的鏈接,以評估此方法的有效性。
圖 2. 垃圾郵件
這封信中的鏈接指向 magni-boss.rocks 網站,該網站提供自動收集獎金和收款的功能:
圖 3. magni-boss.rocks 域上託管的頁面
用於本網站的研究 ,已經有 3 個現成的客戶端 , и .
首先,我們將找出該域名的整個歷史記錄,為此我們將使用以下命令:
pt-client pdns --query magni-boss.rocks
該命令將返回與該域名關聯的所有 DNS 解析的信息。
圖 4. Riskiq API 的響應
讓我們將 API 的響應轉換為更直觀的形式:
圖 5. 響應中的所有條目
為了進一步研究,我們在 01.08.2019 年 92.119.113.112 月 85.143.219.65 日收到信件時獲取了該域名已解析的 IP 地址,這些 IP 地址是以下地址 XNUMX 和 XNUMX。
使用命令:
pt-client pdns --query
您可以獲得與給定 IP 地址關聯的所有域名。
IP地址92.119.113.112有42個唯一的域名解析到該IP地址,其中包括以下名稱:
- 磁力老闆俱樂部
- igrovie-automaty.me
- pro-x-審計.xyz
- zep3-www.xyz
- 和其他人
IP地址85.143.219.65有44個唯一的域名解析到該IP地址,其中包括以下名稱:
- cvv2.name(出售信用卡數據的網站)
- 電子郵件世界
- www.mailru.space
- 和其他人
與這些域名的連接會導致網絡釣魚,但我們相信善良的人,所以讓我們嘗試獲得 332 盧布的獎金? 點擊“YES”按鈕後,該網站要求我們從卡中轉出 501.72 盧布以解鎖帳戶,並將我們發送到 as-torpay.info 網站輸入數據。
圖 6. ac-pay2day.net 網站的主頁
它看起來像一個合法的網站,有一個 https 證書,並且主頁提供了將此支付系統連接到您的網站的功能,但是,唉,所有連接鏈接都不起作用。 該域名僅解析為 1 個 IP 地址 - 190.115.19.74。 反過來,它有 1475 個解析到該 IP 地址的唯一域名,包括以下名稱:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- 和其他人
正如我們所看到的,被動 DNS 允許您快速有效地收集有關所研究資源的數據,甚至建立一種印記,使您能夠揭露竊取個人數據的整個計劃,從收據到可能的銷售地點。
圖 7. 所研究的系統圖
並非一切都像我們希望的那樣美好。 例如,此類調查很容易破壞 CloudFlare 或類似服務。 收集數據庫的有效性很大程度上取決於通過收集被動 DNS 數據的模塊的 DNS 請求的數量。 儘管如此,被動 DNS 仍然是研究人員的附加信息來源。
作者:烏拉爾安全系統中心專家
來源: www.habr.com