被动DNS
互联网域名系统(DNS)是底层地址簿,它将人类可读的名称映射到机器可读的数字。因此,DNS被认为是互联网功能的核心结构,许多研究和安全团队正在利用它来阻止和重定向恶意流量。
被动DNS (pDNS)将这种方法更进一步,通过一个全局传感器网络记录经过DNS递归解析器的匿名查询和响应对。被动DNS数据集还记录第一次看到记录集和最后一次看到记录集的时间,以及该记录集的每个实例的计数。
利用这一点,安全团队可以搜索恶意域名,以查看其背后设置的底层基础设施、用于C2的任何DNS隧道或发生的数据泄露,以及域名背后恶意服务器之间的历史波动。使用并不止于此,这就是为什么DomainTools一直在努力策划一套全面的pDNS数据集虹膜调查平台.
DomainTools虹膜调查平台中的PDNS
DomainTools虹膜调查平台中的pDNS被标记为A (Farsight pDNS), B, C和D,以指示我们从四个提供商获取数据。由于pDNS空间包含了十几个提供者,它们之间有一些重叠,因此我们对资源采取了精心策划的方法。在一个已经充满噪音的数据集中,我们发现这种有范围的方法可以为客户提供最大的价值,我们会定期不断地重新评估,以确保我们的选择仍然合理。
再加上虹膜调查平台的旋转功能,分析师可以通过共同的数据点找到实体之间的联系。虹膜调查还包括“引导枢轴”,自动显示哪些枢轴最有可能导致相关连接。此外,用户可以直接从pDNS请求和响应转向他们的主动调查,在探索记录集时使用发现的新域扩展查询。这种集成允许调查人员快速扩展我们的经典WHOIS数据集,以发现新的恶意活动领域,然后可以在一块玻璃下使用我们的IP、NS或SSL数据集进一步增强这些活动。
在pDNS中找到的数据示例
DNS隧道
DNS隧道包括使用DNS窃取数据或作为僵尸网络的命令和控制功能。由于DNS在许多组织中不受监控和限制,这是攻击者在野外使用的一种越来越流行的方法。下面显示了涉及ISMDoor恶意软件变体的记录,该恶意软件利用DNS进行信令和数据泄露。
参与者基础结构映射
DNS结构揭示了很多关于攻击者使用的工具,并可以为参与者的操作提供指纹。许多普通的网络犯罪分子会使用相同的基础设施和工具,选择以编程方式进行设置,以便经常在pDNS中发现模式。在这个例子中,你可以看到使用cPanel, webdisk和更多,这表明一个OVH用户。日期的分布揭示了攻击者的工作时间表,以及使用Dyn动态DNS服务指向他们的命名服务器——表明这些攻击者运行自己的DNS基础设施。
基础设施和快速流动的历史图景
pDNS可以显示一个域后面的基础设施在一段时间内的变化,否则这些基础设施就会丢失。由于pDNS收集依赖于拾取一个实际的查询,因此我们可以看到,除非在记录的TTL处对记录进行活动轮询,否则将丢失的记录集。此外,通过使用IP和pDNS中的反向响应查询,可以快速找到僵尸网络使用的过去快速通量域。
行动者动机预测
某些类型的攻击需要额外的设置,可以在pDNS中显示。例如,商业电子邮件泄露(BEC)将需要通过谷歌,ZOHO或其他提供商验证其电子邮件域。看到这些手动输入的SPF和DKIM记录表明使用域发送电子邮件的意图。如果您的团队通过使用DomainTools PhishEye等产品主动搜索发现此域名,以揭示拼写错误注册,那么这些记录是未来恶意意图的强烈指标。
域名劫持
近年来,随着Talos的SeaTurtle论文的发布,DNS劫持变得越来越普遍,越来越普遍。在pDNS中很容易发现DNS劫持,因为切换到另一个名称服务器的时间会立即被新的NS记录集捕获。lcjcomputing[。]com域名下面是最初由Talos报告的参与者控制的域名服务器。
用途多,见解深刻
PDNS是具有广泛用例的基础设施映射数据的宝库。无论您使用它来查找调查中的更多支点,跟踪参与者基础结构更改,还是监视您自己的域以防止DNS劫持:pDNS都是每个调查人员工具包中的基本工具。
