Le système de noms de domaine (DNS) est une sorte d'annuaire téléphonique qui traduit des noms conviviaux, tels que «ussc.ru», en adresses IP. Étant donné que l'activité DNS est présente dans presque toutes les sessions de communication, quel que soit le protocole. Ainsi, la journalisation DNS est une source de données précieuse pour un spécialiste de la sécurité de l'information, lui permettant de détecter des anomalies ou d'obtenir des données supplémentaires sur le système à l'étude.
En 2004, Florian Weimer a proposé une telle méthode de journalisation en tant que DNS passif, qui vous permet de restaurer l'historique des modifications des données DNS avec la possibilité d'indexer et de rechercher, ce qui peut donner accès aux données suivantes:
- Nom de domaine
- Adresse IP du nom de domaine demandé
- Date et heure de la réponse
- Type de réponse
- etc.
Les données pour le DNS passif sont collectées à partir de serveurs DNS récursifs avec des modules intégrés ou en interceptant les réponses des serveurs DNS responsables de la zone.
Figure 1. DNS passif (extrait de Ctovision.com )
La particularité du DNS passif est qu'il n'est pas nécessaire d'enregistrer l'adresse IP du client, ce qui contribue à protéger la confidentialité des utilisateurs.
À l'heure actuelle, il existe de nombreux services qui permettent d'accéder aux données DNS passives:
Tableau 1. Services avec accès aux données DNS passives
Options d'utilisation du DNS passif
À l'aide du DNS passif, vous pouvez établir des connexions entre les noms de domaine, les serveurs NS et les adresses IP. Cela vous permet de construire des cartes des systèmes étudiés et de suivre les changements dans une telle carte de la première détection au moment actuel.
Le DNS passif facilite également la détection des anomalies de trafic. Par exemple, le suivi des modifications dans les zones NS et les enregistrements tels que A et AAAA vous permet d'identifier les sites malveillants à l'aide de la méthode de flux rapide, qui est conçue pour cacher C&C de la détection et du blocage. Étant donné que les noms de domaine légitimes (à l'exception de ceux utilisés pour l'équilibrage de charge) ne changeront pas souvent leurs adresses IP, et la plupart des zones légitimes changent rarement leurs serveurs NS.
Le DNS passif, contrairement à l'énumération directe des sous-domaines dans les dictionnaires, vous permet de trouver même les noms de domaine les plus exotiques, par exemple, «222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru». En outre, il vous permet parfois de trouver des zones de test (et vulnérables) d'un site Web, du matériel pour les développeurs, etc.
Examen des liens des e-mails à l'aide du DNS passif
À l'heure actuelle, le spam est l'un des principaux moyens par lesquels un attaquant pénètre dans l'ordinateur de la victime ou vole des informations confidentielles. Essayons d'examiner le lien d'une telle lettre en utilisant le DNS passif pour évaluer l'efficacité de cette méthode.
Figure 2. Courriel de spam
Le lien de cette lettre conduit au site magnit-boss.rocks, qui propose de collecter automatiquement les bonus et de recevoir de l'argent:
Figure 3. La page hébergée sur magnit-boss.rocks
Pour étudier ce site, l'API Riskiq a été utilisée, qui compte déjà 3 clients prêts à l'emploi en Python , Ruby et Rust .
Tout d'abord, nous allons découvrir toute l'histoire de ce nom de domaine, pour cela nous utilisons la commande:
pt-client pdns --query magnit-boss.rocks
Cette commande affichera des informations sur toutes les résolutions DNS associées à ce nom de domaine.
Figure 4. Réponse de l'API Riskiq
Apportons la réponse de l'API à une forme plus visuelle:
Figure 5. Tous les enregistrements de la réponse
Pour de plus amples recherches, des adresses IP ont été prises pour lesquelles ce nom de domaine a été résolu au moment de la réception de la lettre 01.08.2019, ces adresses IP sont les adresses 92.119.113.112 et 85.143.219.65 suivantes.
Utilisation de la commande:
pt-client pdns --query
Vous pouvez obtenir tous les noms de domaine associés à ces adresses IP.
L'adresse IP 92.119.113.112 possède 42 noms de domaine uniques résolus en cette adresse IP, parmi lesquels il existe de tels noms:
- magnit-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- et autres
L'adresse IP 85.143.219.65 possède 44 noms de domaine uniques résolus en cette adresse IP, parmi lesquels il existe de tels noms:
- cvv2.name (site de vente de données de carte de crédit)
- emaills.world
- www.mailru.space
- et autres
Les connexions avec ces noms de domaine suggèrent l'hameçonnage, mais nous croyons en de bonnes personnes, nous allons donc essayer d'obtenir un bonus de 332 501,72 roubles? Après avoir cliqué sur le bouton "OUI", le site nous demande de transférer 300 roubles de la carte pour déverrouiller le compte et nous envoie sur as-torpay.info pour saisir les données.
Figure 6. Page d'accueil Ac-pay2day.net
Il ressemble à un site légal, il existe un certificat https, et la page principale propose de connecter ce système de paiement à votre site, mais, hélas, tous les liens vers la connexion ne fonctionnent pas. Ce nom de domaine se résout à 1 seule adresse IP - 190.115.19.74. À son tour, il a 1475 noms de domaine uniques qui ont résolu cette adresse IP, y compris des noms tels que:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- et autres
Comme nous pouvons le voir, le DNS passif vous permet de collecter rapidement et efficacement des données sur la ressource enquêtée et même de créer une sorte d'empreinte digitale qui vous permet de révéler tout un schéma de vol de données personnelles, de sa réception au point de vente probable.
Figure 7. Carte du système étudié
Tout n'est pas aussi rose que nous le souhaiterions. Par exemple, de telles enquêtes peuvent facilement se briser sur CloudFlare ou des services similaires. Et l'efficacité de la base de données est très dépendante du nombre de requêtes DNS passant par le module pour collecter des données DNS passives. Néanmoins, le DNS passif est une source d'informations supplémentaires pour le chercheur.
Auteur: spécialiste du Centre de l'Oural pour les systèmes de sécurité