Passive DNS в руках аналитика

    Система доменных имен (DNS) является подобием телефонной книги, которая переводит удобные для пользователя имена, такие как «ussc.ru», в IP-адреса. Так как активность DNS присутствует практически во всех сеансах связи, независимо от протокола. Таким образом DNS логирование является ценным источником данных для специалиста по информационной безопасности, позволяющее им обнаруживать аномалии или получать дополнительные данные об исследуемой системе.


    В 2004 году Флорианом Ваймером был предложен такой метод логирования, как Passive DNS, позволяющий восстанавливать историю изменений DNS данных с возможностью индексации и поиска, которые могут предоставлять доступ к следующим данным:


    • Доменное имя
    • IP-адрес запрошенного доменного имени
    • Дату и время ответа
    • Тип ответа
    • и т.д.

    Данные для Passive DNS собираются с рекурсивных DNS-серверов встроенными модулями или с помощью перехвата ответов от DNS-серверов, ответственных за зону.


    image

    Рисунок 1. Passive DNS (взят с сайта Ctovision.com)


    Особенность Passive DNS заключается в отсутствии необходимости регистрировать IP-адрес клиента, что позволяет защитить конфиденциальность пользователей.


    На данный момент существует множество сервисов, предоставляющих доступ к Passive DNS данным:


    DNSDB VirusTotal PassiveTotal Octopus SecurityTrails Umbrella Investigate
    Компания Farsight Security VirusTotal Riskiq SafeDNS SecurityTrails Cisco
    Доступ По запросу Не требует регистрации Свободна регистрация По запросу Не требует регистрации По запросу
    API Присутствует Присутствует Присутствует Присутствует Присутствует Присутствует
    Наличие клиента Присутствует Присутствует Присутствует Отсутствует Отсутствует Отсутствует
    Начало сбора данных 2010 год 2013 год 2009 год Отображает только последние 3 месяца 2008 год 2006 год

    Таблица 1. Сервисы с доступом к Passive DNS данным


    Варианты использования Passive DNS


    Используя Passive DNS можно отстраивать связи между доменными именами, NS серверами и IP-адресами. Это позволяет строить карты исследуемых систем и отслеживать изменения такой карты от первого обнаружения до текущего момента.


    Также Passive DNS облегчает выявления аномалий в трафике. Например, отслеживания изменений в NS зонах и записях типа A и AAAA позволяет выявлять вредоносные сайты, использующие метод fast flux, призванный скрыть C&C от обнаружения и блокировки. Поскольку легитимные доменные имена (за исключением тех, которые используются для распределения нагрузки) не будут часто менять свои IP-адреса, а большинство легитимных зон редко меняют свои NS сервера.


    Passive DNS в отличие от прямого перебора поддоменов по словарям позволяет найти даже самые экзотические доменные имена, например “222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. Также это иногда позволяет найти тестовые (и уязвимые) области веб-сайта, материалы для разработчиков и т.п.


    Исследование ссылки из письма, используя Passive DNS


    На данный момент спам является одним из основных способов, через который злоумышленник проникает на компьютер жертвы или крадет конфиденциальную информацию. Попробуем исследовать ссылку из такого письма, используя Passive DNS, чтобы оценить эффективность данного метода.


    image

    Рисунок 2. Спам письмо


    Ссылка из данного письма вела на сайт magnit-boss.rocks, который предлагал в автоматическом режиме собирать бонусы и получать деньги:


    image

    Рисунок 3. Страница, размещенная на домене magnit-boss.rocks


    Для исследования данного сайта был использован API Riskiq, который уже имеет 3 готовых клиента на Python, Ruby и Rust.


    Первым делом узнаем всю историю данного доменного имени, для этого воспользуемся командой:


    pt-client pdns --query magnit-boss.rocks


    Данная команда выдаст информацию о всех DNS резолвах, связанных с этим доменным именем.


    image

    Рисунок 4. Ответ от API Riskiq


    Приведем ответ от API к более наглядному виду:


    image

    Рисунок 5. Все записи из ответа


    Для дальнейшего исследования были взяты IP-адреса, в которые данное доменное имя резолвилось на момент получения письма 01.08.2019, такими IP-адресами являются следующие адреса 92.119.113.112 и 85.143.219.65.


    Используя команду:


    pt-client pdns --query


    можно получить все доменные имена, которые связаны с данными IP-адресами.
    IP-адрес 92.119.113.112 имеет 42 уникальных доменнных имени, которые резолвились в данный IP-адрес, среди которых имеются такие имена:


    • magnit-boss.club
    • igrovie-avtomaty.me
    • pro-x-audit.xyz
    • zep3-www.xyz
    • и др

    Ip-адрес 85.143.219.65 имеет 44 уникальных доменнных имени, которые резолвились в данный IP-адрес, среди которых имеются такие имена:


    • cvv2.name (сайт для продажи данных кредитных карт)
    • emaills.world
    • www.mailru.space
    • и др

    Связи с данными доменными именами наводят на фишинг, но мы же верим в добрых людей, поэтому попытаемся получить бонус в размере 332 501.72 рублей? После нажатия на кнопку “ДА”, сайт просит нас перевести 300 рублей с карты для разблокировки счета и отправляет нас на сайт as-torpay.info для ввода данных.


    image

    Рисунок 6. Главная страница сайта ac-pay2day.net


    С виду легальный сайт, есть https сертификат, да и главная страница предлагает подключить данную платежную систему к своему сайту, но, увы, все ссылки на подключение не работают. Данное доменное имя резолвится только в 1 ip-адресс — 190.115.19.74. Он в свою очередь имеет 1475 уникальных доменнных имен, которые резолвились в данный IP-адрес, среди которых такие имена как:


    • ac-pay2day.net
    • ac-payfit.com
    • as-manypay.com
    • fletkass.net
    • as-magicpay.com
    • и др

    Как мы можем видеть Passive DNS позволяет достаточно быстро и эффективно собрать данные о исследуемом ресурсе и даже построить своеобразные отпечаток, позволяющий раскрыть целую схему по краже персональных данных, от его получения до вероятного места продажи.


    image

    Рисунок 7. Карта исследуемой системы


    Не все так радужно, как бы нам хотелось. К примеру, такие расследования легко могут разбиться о СloudFlare или подобные сервисы. А эффективность собираемой базы очень зависит от количества DNS запросов проходящих через модуль для сбора Passive DNS данных. Но тем не менее Passive DNS является источником дополнительной информации для исследователя.


    Автор: Специалист Уральского центра систем безопасности

    • +13
    • 2,9k
    • 2
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 2

      +2
      Вы что нибудь слышали о шаред-хостинге, когда на одном IP адресе может висеть до 1000 сайтов?
        +2

        Как я понял из презенташки Ваймера, эту штуку он задумывал для анализа ботнетов, видимо, в зараженных сетях. В других условиях как-то мало верится, что рекурсоры будут ставить у себя подобный зонд и сливать эту информацию, пусть даже обзеличенную. Там банально будет такой поток данных, что я слабо представляю какую БД их можно сливать...


        А пример, который вы расковыряли — так это известная в узких кругах так называемая "партнерская программа" — E-pay. Одна из крупнейших в рунете. Грубо, господа предоставляют готовую платформу для говносайтов, выманивающих денежку у совсем глупеньких пользователей, в т.ч. обеспечивают "вывод" и конверт денег — переводами на карты, киви, Я.Деньги и прочее. Там всё на потоке, вот их сайт для жулья — e-pay.marketing — не сложно зарегаться и посмотреть. Кстати, сейчас что-то продажи у них подупали, ранее топовые жулики накручивали на уровне нескольких млн рублей в неделю.
        И да, доменов у них там сотни, даже тысячи. Господа могут себе позволить сидеть не на шаред хостинге =)


        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое