Passive dns что это
Перейти к содержимому

Passive dns что это

  • автор:

Passive DNS в руках аналитика

Система доменных имен (DNS) является подобием телефонной книги, которая переводит удобные для пользователя имена, такие как «ussc.ru», в IP-адреса. Так как активность DNS присутствует практически во всех сеансах связи, независимо от протокола. Таким образом DNS логирование является ценным источником данных для специалиста по информационной безопасности, позволяющее им обнаруживать аномалии или получать дополнительные данные об исследуемой системе.

В 2004 году Флорианом Ваймером был предложен такой метод логирования, как Passive DNS, позволяющий восстанавливать историю изменений DNS данных с возможностью индексации и поиска, которые могут предоставлять доступ к следующим данным:

  • Доменное имя
  • IP-адрес запрошенного доменного имени
  • Дату и время ответа
  • Тип ответа
  • и т.д.

Данные для Passive DNS собираются с рекурсивных DNS-серверов встроенными модулями или с помощью перехвата ответов от DNS-серверов, ответственных за зону.

image

Рисунок 1. Passive DNS (взят с сайта Ctovision.com)

Особенность Passive DNS заключается в отсутствии необходимости регистрировать IP-адрес клиента, что позволяет защитить конфиденциальность пользователей.

На данный момент существует множество сервисов, предоставляющих доступ к Passive DNS данным:

DNSDB VirusTotal PassiveTotal Octopus SecurityTrails Umbrella Investigate
Компания Farsight Security VirusTotal Riskiq SafeDNS SecurityTrails Cisco
Доступ По запросу Не требует регистрации Свободна регистрация По запросу Не требует регистрации По запросу
API Присутствует Присутствует Присутствует Присутствует Присутствует Присутствует
Наличие клиента Присутствует Присутствует Присутствует Отсутствует Отсутствует Отсутствует
Начало сбора данных 2010 год 2013 год 2009 год Отображает только последние 3 месяца 2008 год 2006 год

Таблица 1. Сервисы с доступом к Passive DNS данным

Варианты использования Passive DNS

Используя Passive DNS можно отстраивать связи между доменными именами, NS серверами и IP-адресами. Это позволяет строить карты исследуемых систем и отслеживать изменения такой карты от первого обнаружения до текущего момента.

Также Passive DNS облегчает выявления аномалий в трафике. Например, отслеживания изменений в NS зонах и записях типа A и AAAA позволяет выявлять вредоносные сайты, использующие метод fast flux, призванный скрыть C&C от обнаружения и блокировки. Поскольку легитимные доменные имена (за исключением тех, которые используются для распределения нагрузки) не будут часто менять свои IP-адреса, а большинство легитимных зон редко меняют свои NS сервера.

Passive DNS в отличие от прямого перебора поддоменов по словарям позволяет найти даже самые экзотические доменные имена, например “222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. Также это иногда позволяет найти тестовые (и уязвимые) области веб-сайта, материалы для разработчиков и т.п.

Исследование ссылки из письма, используя Passive DNS

На данный момент спам является одним из основных способов, через который злоумышленник проникает на компьютер жертвы или крадет конфиденциальную информацию. Попробуем исследовать ссылку из такого письма, используя Passive DNS, чтобы оценить эффективность данного метода.

image

Рисунок 2. Спам письмо

Ссылка из данного письма вела на сайт magnit-boss.rocks, который предлагал в автоматическом режиме собирать бонусы и получать деньги:

image

Рисунок 3. Страница, размещенная на домене magnit-boss.rocks

Для исследования данного сайта был использован API Riskiq, который уже имеет 3 готовых клиента на Python, Ruby и Rust.

Первым делом узнаем всю историю данного доменного имени, для этого воспользуемся командой:

pt-client pdns —query magnit-boss.rocks

Данная команда выдаст информацию о всех DNS резолвах, связанных с этим доменным именем.

image

Рисунок 4. Ответ от API Riskiq

Приведем ответ от API к более наглядному виду:

image

Рисунок 5. Все записи из ответа

Для дальнейшего исследования были взяты IP-адреса, в которые данное доменное имя резолвилось на момент получения письма 01.08.2019, такими IP-адресами являются следующие адреса 92.119.113.112 и 85.143.219.65.

pt-client pdns —query

можно получить все доменные имена, которые связаны с данными IP-адресами.
IP-адрес 92.119.113.112 имеет 42 уникальных доменнных имени, которые резолвились в данный IP-адрес, среди которых имеются такие имена:

  • magnit-boss.club
  • igrovie-avtomaty.me
  • pro-x-audit.xyz
  • zep3-www.xyz
  • и др

Ip-адрес 85.143.219.65 имеет 44 уникальных доменнных имени, которые резолвились в данный IP-адрес, среди которых имеются такие имена:

  • cvv2.name (сайт для продажи данных кредитных карт)
  • emaills.world
  • www.mailru.space
  • и др

Связи с данными доменными именами наводят на фишинг, но мы же верим в добрых людей, поэтому попытаемся получить бонус в размере 332 501.72 рублей? После нажатия на кнопку “ДА”, сайт просит нас перевести 300 рублей с карты для разблокировки счета и отправляет нас на сайт as-torpay.info для ввода данных.

image

Рисунок 6. Главная страница сайта ac-pay2day.net

С виду легальный сайт, есть https сертификат, да и главная страница предлагает подключить данную платежную систему к своему сайту, но, увы, все ссылки на подключение не работают. Данное доменное имя резолвится только в 1 ip-адресс — 190.115.19.74. Он в свою очередь имеет 1475 уникальных доменнных имен, которые резолвились в данный IP-адрес, среди которых такие имена как:

  • ac-pay2day.net
  • ac-payfit.com
  • as-manypay.com
  • fletkass.net
  • as-magicpay.com
  • и др

Как мы можем видеть Passive DNS позволяет достаточно быстро и эффективно собрать данные о исследуемом ресурсе и даже построить своеобразные отпечаток, позволяющий раскрыть целую схему по краже персональных данных, от его получения до вероятного места продажи.

image

Рисунок 7. Карта исследуемой системы

Не все так радужно, как бы нам хотелось. К примеру, такие расследования легко могут разбиться о СloudFlare или подобные сервисы. А эффективность собираемой базы очень зависит от количества DNS запросов проходящих через модуль для сбора Passive DNS данных. Но тем не менее Passive DNS является источником дополнительной информации для исследователя.

Автор: Специалист Уральского центра систем безопасности

What is Passive DNS? A beginner’s guide

Passive DNS has been an industry-standard tool for more than a decade. Here’s an introduction to Passive DNS, where the data comes from, how it can help boost threat intelligence data and help organizations with investigations, protecting their networks and brand.

What is Passive DNS?

Until the introduction of Passive DNS, there was no way to retrieve the content of any DNS zone owned by other people. Why? System administrators were not keen to share them. Also, once a change was made to a DNS record, the previous details were gone forever as the new version immediately propagated across the internet… Not very helpful if you need to research all the domain names a suspect IP address has resolved to historically, and vice versa. Passive DNS resolves this issue.

Where does Passive DNS data come from?

To understand where Passive DNS data comes from we need to take a closer look at the basics of DNS. Passive DNS data is generated when a cache miss takes place and the hostname is resolved by an external authoritative server, instead of a DNS resolver’s cache. When you go to look at www.example.com, if no one’s checked that website out recently, the domain name has to be resolved using external DNS queries. Take a look at the infographic below:

Infographic showing where Passive DNS data comes from

With special probes activated on the DNS resolver, after a cache miss has happened, it is possible to record the packets containing the answers to the client, along with the time & date stamp of when the query was made. This is Passive DNS data.

Does this data contain personally identifiable information (PII)?

No! All PII is held downstream. Passive DNS data does not contain which client (or person) made a query, just the fact that at some point in time, there was an association between a specific domain and a specific DNS record. Here is the exact information recorded:

  • Domain name
  • Record type
  • Record value
  • Time stamp

Privacy is maintained throughout.

Image showing that Passive DNS data collected at the cache miss doesn't contain personally identifiable data

Where do we collect this data from?

Passive DNS data from Spamhaus is collected across the internet globally from trusted third parties, including hosting companies, enterprises, and ISPs.

Spamhaus’ Passive DNS cluster handles more than 200 million DNS records per hour and stores hundreds of billions of records per month, providing you with access to a vast lake of threat intelligence data.

How can this help your IT security?

Passive DNS data can improve existing threat intelligence data streams, increasing visibility across potential threats. It provides a wealth of DNS-focused information for IT security teams, research teams, and brand protection specialists.

Research analysts can gain insight as to how a particular domain name changes over time and how it is related to other domains and/or IP addresses. For example, where this typically static data is suddenly changing rapidly, and a hostname’s IP address changes every 30 seconds, this indicates malpractice and requires further investigation. Passive DNS data enables you to build a picture of potential threats across global networks that cannot be identified by monitoring your network.

Brand protection specialists can identify spoofed domains/websites, noting when they have been active and how they are associated with other domains.

Discover the value this data can bring. Sign up for a FREE Passive DNS trial here.

Passive dns что это

Our goal is simple: to help keep you safe on the web. And we’ve worked hard to ensure that the services we offer continually improve. But as.

At the RSA Conference 2023 today, we are excited to unveil VirusTotal Code Insight, a cutting-edge feature that leverages artificial intelli.

TL;DR: VirusTotal’s browser extension can now automatically identify IoCs in any website and enrich them with superior context from our crow.

Blog Archive

Monday, April 01, 2013

VirusTotal += Passive DNS replication

Monday, April 01, 2013 Emiliano Martinez 3 comments

  • Inter-server DNS messages are captured by sensors and forwarded to a collection point for analysis.
  • After being processed, individual DNS records are stored in a database where they can be indexed and queried.

As such, passive DNS can help in answering the following questions:

  • Where did this domain name point to in the past?
  • What domain names are hosted by a given nameserver?
  • What domain names point into a given IP network?
  • What subdomains exist below a certain domain name?

It is, thus, obvious that passive DNS may be very useful in malware investigations as it may help researchers in discovering network infrastructure operated by the same group of criminals, other domains being to used to distribute a given malware variant, algorithm-governed C&C communication points, etc.

There are plenty of amazing passive DNS services out there, for example, BFK passive DNS replication, we do not intend to compete with these services but rather offer the security community the perspective VirusTotal has regarding network infrastructure involved in malicious incidents. VirusTotal visits many URLs related to malware and executes thousands of samples per day that communicate with certain domains, as such, we have a privileged position when it comes to passive DNS focused on malware research.

Not so long ago we started to record domain resolutions, exclusively address (A) records, and we are now offering this feature via our standard search form. If you search for an IP address you will be redirected to a site with passive DNS information for that address:

Similarly, if you use the domain:example.domain.com search modifier you will be redirected to a site with information regarding the given domain.:

We are really excited about this new feature, not only because it is going to help the security community but because it opens the door to future improvements of the IP address and domain information panes. Wouldn’t you love to be able to answer the following questions?

  • What were the last malicious files downloaded from a given host?
  • What were the latest executed malware samples that communicated with the given host?
  • Has this host been seen to use some exploit kit?
  • What were the latest malicious URLs identified at the particular host?
  • What were the latest submitted malware samples that contained the particular host in its strings?
  • And a very long etcetera.

With this new feature there is also a commitment from our side to work on answering these questions so that you can make your malware investigations more productive.

What is Passive DNS?

Share on Facebook

Passive DNS, short for “passive Domain Name System,” is a way for DNS servers to archive domain name-to-IP address resolutions as a security measure. In the process, all of the IP addresses that a domain name resolved to at some point are stored in a passive DNS server. So, if you want to retrieve IP addresses connected to a malicious domain, you can do so.

Think of it as a database where all of a person’s contact details throughout time are recorded. You can thus track where that individual lived if, say, you need to interrogate potential witnesses if he or she has been charged with committing a crime.

Other interesting terms…

Read More about “Passive DNS

It will be much easier for threat actors to commit a crime and then disappear without passive DNS. Why? Because you will have no record of their past activities. You can’t track their so-called “digital footprints,” which give you an idea about all the past nefarious activities they may have been involved with. If you’re trying to prove they’re repeat offenders, therefore, it may not be possible.

Where Do You Get Passive DNS Data?

All DNS servers keep records of queries made to them. Each time you type a domain name into your browser and your computer takes you to the website you wish to access, the domain name-to-IP address translation that DNS servers do gets recorded in a passive DNS database.

For you, that speeds up the process of revisiting that site. For security analysts and researchers, that provides a way to track the history of a domain name that they’re investigating.

Who Can Benefit from Passive DNS Data?

At least four types of professionals can use passive DNS data. We described how in greater detail below.

Penetration Testers

Penetration testers can search for all DNS records related to a client’s domain they’re investigating. Those records can tell them what kind of systems use that domain, allowing them to identify what testing tools to use.

They can also check if the domain’s past and current IP resolutions have vulnerabilities that threat actors can exploit.

Brand Protection Agents

Brand protection specialists can search for all domain names that contain their company name or any of their trademarks and then determine which of the domain names and their corresponding IP addresses are malicious.

They can also check if malicious domains resolve to their shared IP addresses.

Security Professionals

Security professionals include security teams and law enforcement agents. For example, they can use passive DNS data to identify other domains connected to a threat given a malicious domain or an IP address indicator of compromise (IoC).

They can, for instance, find out that the malicious IP address 207[.]148[.]248[.]143 is connected to the domain billingnow[.]com. So, if any of their fellow employees access the domain name, chances are their computers will get infected by a fake antivirus.

Passive DNS data can also let them discover threat actor infrastructures, uncovering all domains and IP addresses in their arsenals that are currently not tagged “malicious” because they have yet to be activated. As a prevention measure, they can block access going to and coming from these suspicious properties (because they share an IP host with a malicious domain, for instance) even before they can cause damage.

Finally, they can use the data to identify all of their company’s web properties and scrutinize their records for signs of tampering. Threat actors may have compromised an insufficiently secured domain name, for instance, by redirecting it to a malicious IP address through DNS hijacking.

How Can You Obtain Passive DNS Data?

One way to get passive DNS data is to use a passive DNS database, which keeps all domain name-to-IP address resolutions over time on record. You can obtain information in three ways so long as you have an account with the provider.

You can download a copy of the entire passive DNS database. Or you can enter an IP address as a search term into a passive DNS web service such as this:

obtaining passive DNS data

Or you can query the IP address on an application programming interface (API) to get results like this:

passive DNS lookup

As you now know, passive DNS data is beneficial for people whose job is to ensure that their company stays protected from digital threats.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *