根据你对某些科目的兴趣,可以随意跳到下面:
简介
到目前为止,这个系列已经完成了覆盖DNS而且域名查询服务数据集。在本系列的最后一部分中,我将讨论被动DNS(生产)并描述它是什么,它如何工作,有价值的工件,如何在您的环境中利用它,以及其他有用的资源。
什么是被动DNS (pDNS)及其工作原理?
本系列的第一篇博客文章深入讨论了DNS及其工作原理(解析到IP地址的实时查询系统),这有时被称为活动DNS。然而,PDNS利用了一个记录匿名权威查询和响应对的全局感知网络。这些传感器还捕获记录集的第一次和最后一次被看到的时间,以及记录集中每个实例的计数。因此,pDNS数据集包含了一个非常有用的资产,子域(例如blog.domaintools.com。需要注意的是——如果一个域还没有被操作,但确实存在,pDNS将不会提供很多有用的情报,但活动DNS将使您占上风。另一方面,使用活动DNS,您只能发现您已经知道或怀疑存在的子域。因此,当涉及到主动和被动DNS时,需要进行权衡。值得注意的是,pDNS不能通过命令行或终端查找获得,因为它只由供应商捕获。
来源:CTOVision.com
以下是PDNS可以帮助您回答的问题列表:
- 在一个给定的IP地址上观察到的所有域是什么,它们是什么时候托管在那里的?
- 给定的域使用或曾经使用过哪些IP地址?
- 对给定域的DNS请求第一次出现是什么时候?
- 在时间轴上,域和IP的相关性是什么样子的?
- 与给定域绑定的子域是什么,或在给定IP地址上观察到的子域是什么?
在威胁搜索或事件响应调查中,PDNS数据:
- 提供攻击或破坏等事件的时间与恶意基础设施的域和主机名解析的细粒度相关性。乐动体育网址
- 产生不寻常DNS行为的证据,例如快速流量配置。
- 通过显示当前或以前托管在IP地址上的域,生成关于IP地址的全面上下文。这可以帮助分析人员确定一个IP是否是给定对手基础设施的一部分。
- 可以帮助分析人员决定是否需要屏蔽某个域或IP。
- 通过公开子域,使您深入了解域的性质。例如,作为凭据收集或网络钓鱼计划一部分使用的域通常使用子域,如“登录”、“下载”或合法服务或公司的名称。乐动体育官网下载
- 为域提供额外的描述或连接数据,包括TXT记录中的字符串、来自起始授权机构(SOA)记录的电子邮件和发送方保护框架(SPF)规则。
来自被动DNS (pDNS)的有价值的工件
查询和响应
一个“A”记录,即“地址”的缩写,将一个域映射到一个IPv4在DNS地址。同样,AAAA记录用于解析对应的域名IPv6地址。要复习DNS,请转回本系列的第一篇博客.其他记录类型包括标准名称(CNAME),邮件交换器(MX),命名服务器(NS),授权开始(SOA),文本(TXT).注意有更多的记录类型;你可以找到这里的完整列表.简而言之,这些记录类型描述了一个pDNS响应。你们可能还记得第一部分在本系列中,DNS是一个处理单个查询并通过递归查找过程生成响应的过程。在真空中查看查询或响应可能很困难,因此除了pDNS中的单个记录之外,本博客还将查看查询响应对(与前两个博客的方法略有不同)。
子域
pDNS如此强大的一个原因是它包含完全限定域名(FQDNs)而不仅仅是顶点域.这意味着你可以享受子域.当用于合法目的时,子域是组织分解功能(如hr.company[.]com)或引入行为(如hr.company[.]com)的有用工具。乐动体育官网下载login.乐动体育官网下载company。com)。不幸的是,子域名是网络犯罪分子欺骗可信品牌的又一工具。
- 类似于人们使用词缀或后缀(在本系列的第二篇博客中提到过),参与者可能会使用像“下载”或“登录”这样的术语来创建二级或三级域名,以显得合法。
- 在A/AAAA记录上查询“cpanel”、“webdisk”等项可以指出哪里的基础设施正在被威胁行为者破坏(在网络磁盘的情况下,这与OVH相关)。
- 因为子域不需要注册—您可以在您拥有或控制的域上创建任何子域—合法域的欺骗通常发生在子域空间中,如。“blog.domaintools.com.some.other.domain.tld”
响应
- 具有高熵的主机名可能是DNS隧道的指示器(如。24 yl1nvnvvm3.d.75e31a11a1d84bdbb80d.msoffice365update。com,这是一个AAAA记录与ISMDoor恶意软件变种利用DNS进行信令和数据导出)。
- 根据一篇很棒的论文,作者是SANS的Greg Farnham说,DNS名称中唯一字符的数量可以指示DNS隧道的可能性.更独特的字符(他的研究建议提醒任何超过27个独特字符)。
查询和响应
- 具有奇数AAAA响应的查询表示C2通信的唯一会话ID。奇数响应的例子可能是2020:2020:2020:2020:2020:2020[:] 2020[:] 2020。您可以通过反向pDNS查找来分析这个问题,以查看导致给定响应的所有查询。有时,查找在全局单播作用域之外的IPv4或IPv6地址有助于跟踪这些有效地址。
- 单个IP地址快速循环查询(或域名)是快速流量DNS技术的一个潜在信号。第一次和最后一次看到的pDNS字段显示查询/响应对,否则将会错过。
- 域名劫持,有时被称为DNS重定向或DNS中毒,是指攻击者通过错误解析DNS查询将用户重定向到恶意站点。通常这种策略被用于网络钓鱼攻击,显示广告以产生收入(叹息),或审查(例如中国防火长城).我还将注意到有几种类型的DNS劫持(路由器、中间人、本地和流氓)。在监视潜在的DNS劫持攻击时,pDNS允许您查看攻击者何时更改DNS记录(活动何时激活/不激活)、被劫持的DNS记录指向哪里(这提供了一些意图),并挖掘基础设施以便进一步搜索.这是一个很好的例子通过Brian Krebs深入研究DNS劫持攻击.
域名服务器
我在本系列的第一篇博客中详细介绍了DNS,所以我对名称服务器的补充说明如下:
- 反应还可以帮助你破译和绘制邪恶的基础设施。例如,如果响应类型是名称服务器,并包含术语“traeumtgerade”,则可以快速收集到攻击者正在使用Dyn动态DNS服务指向他们的名称服务器,这说明攻击者正在运行自己的基础设施。
CNAME
CNAME记录用于创建从一个域到另一个域的别名。合法的使用包括在多个地理区域注册一个域名,将一个品牌下的网站指向一个网站,自定义子域名将所有用户引导到同一个网站,等等。
- cname使用了拼写错误策略那些指向已知的坏域的人很可能不会有好结果。
- CNAME充当了很好的连接器,旋转CNAME查看是否有连接器与此记录相关联的已知坏域是坏域的良好指示器.
MX和SOA
在本系列的前面,我详细地介绍了MX和SOA记录,下面简要回顾一下:
- 同一域上邮件服务器的MX记录,与名称服务器非常相似,表示所有者管理的设置。在这种情况下,这与邮件服务器验证,如发送者保护框架(SPF)记录相结合,这可能是一个迹象,表明攻击者试图使他们的邮件看起来合法,通过邮件服务器进行网络钓鱼。
- 非标准MX记录这意味着MX记录没有被IP/名称服务器的托管公司建立起来是一个有趣的信号。乐动体育官网下载这可能意味着他们在本地操作自己的电子邮件服务器,因此更容易监控他们的活动和配置他们的行为。
- 域内MX服务器的个数:同样的规则适用于MX服务器和命名服务器。一个域上MX服务器的数量可以很好地指示某件事是否合法。如果一个域有两个左右的MX服务器,这对于有效域来说是非常典型的。但是,如果只有一个MX服务器,或者这些MX服务器的托管位置不匹配,这就需要引起关注。
- MX记录名字:“奇怪”的MX记录,特别是如果MX服务器名称与域名本身的语义结构非常接近,则是糟糕的一个很好的指示器。如果您看到一堆具有通用命名模式的域,如“{10,11,12,13,14…}sharepoint-login[.]”。com“这些很可能是钓鱼域名。类似地,当看到一堆域名的名字像“k23j23jklkjlkj32l[。]com”,人们可能会认为它们与垃圾邮件基础设施有关。
- RNAME是包含在SOA记录中的一个极其重要的字段。这是负责该专区的管理员的电子邮件地址。在后gdpr时代,这些没有在SOA记录中编辑的电子邮件地址可以是帮助关联活动和活动的唯一共享属性。您可能还会找到名称服务器托管提供者的管理电子邮件,这不是很有价值。在SOA记录中包含rname并不常见,但它们是很容易实现的。嘿,有时威胁执行者会犯简单的opsec错误!
- TTL的长度可能是坏人使用技术的信号。较短的TTL(一秒或两秒)意味着DNS将继续进行查找,因为参与者正在移动基础设施,使供应商和防御者更难捕获它们。短的ttl并不总是不好的迹象。它们也常用于内容传递网络(CDNs),目的不那么险恶。
数
由于缓存和收集pDNS数据的其他技术限制(即pDNS提供程序在哪个递归服务器上安装了传感器),该计数不能很好地表示查询/响应对出现的次数。在真空中查看计数并不是很有价值,但它可以与许多其他信号一起使用,以确定一个指标是否糟糕。这有助于进行相对比较,例如,一个域比另一个域获得更多的点击率。最后要记住的一点是:攻击者不需要很高的数量就能成功.
初见与终见
pDNS中的第一个和最后一个所见字段对于理解活动发生的时间以及它是否与其他事件相关非常关键。它提供了一幅历史图片供你参考。这不是良性或恶意行为的指标,但值得注意的是,这些数据对:
- 将活动与其他事件关联起来
- 绘制历史图(类似于历史Whois数据)
- 创建先进的狩猎查询找到任何连接的基础设施
文本(TXT)
文本记录提供了将任意文本与主机或其他名称关联的能力RFC 1035.这个记录类型是灵活的,虽然这个字段最初只允许每个UDP DNS包512字节,现在每个UDP DNS包可以提供超过4000字节.此更改允许SPF记录和域密钥存储在TXT记录中,以帮助防止垃圾邮件。不幸的是,TXT记录并不总是用于合法的目的。
有一些关于DNS隧道的优秀研究。我最喜欢的是野外新观察到的主机名和DNS隧道的研究本期节目由德国波鸿鲁尔大学.我将在下面直接引用他们对DNS隧道的定义。
DNS隧道是一种通过DNS查询和应答在DNS上传输任意信息的隐蔽通道技术。这种技术经常被攻击者用来以一种隐秘的方式传输数据,绕过传统的网络安全系统。
- 大量的TXT记录与DNS隧道相关.他们的研究发现,几乎所有的资源记录类型零请求和超过三分之一的TXT请求可以归因于DNS隧道(喘气!)这与我的博客有点切题,但我也发现他们研究中的这张表很有趣,它显示了他们在数据集中观察到的记录条目的分布。
图片来源:《新观察到的主机名和DNS隧道在野外的研究
- TXT记录更多字符还与什么有关分布式拒绝服务攻击.
- 带有手动输入SPF和域密钥识别邮件(DKIM)记录的响应可以表明使用域发送邮件的意图因为商务电子邮件折衷(BEC)将需要通过谷歌,Zoho或其他提供商验证他们的电子邮件域。您可以通过查看TXT记录响应来识别这种策略。如果这种策略与拼写错误相结合(这将在本系列的第二篇博客中进行描述),那么这就是糟糕的一个强烈指标。
在环境中利用PDNS数据
如果您已经阅读了我在这个系列中的前两篇文章,那么我强烈建议使用这些策略来扩展您的手动调查就不足为奇了安全自动化编排和响应(SOAR)以及增强机器学习能力。
什么能很好地与域pDNS数据配对?
- 活跃的DNS
- 域名查询服务
- 网页来源和内容
- 发送方策略框架(SPF)而且基于域的消息认证、报告和一致性(DMARC)规则
结论
感谢大家坚持听我讲完这个冗长的系列DNS,域名查询服务、被动DNS。我希望本系列文章能够成为您在研究和分析网络基础结构时参考和熟悉的有用指南。您可以在下文中找到pDNS备忘单,以及一个PDF,其中包含了来自我所介绍的所有三个数据集的有用信号。如果您还想让我研究其他数据集,请不要犹豫在推特上和我交流.再次感谢大家,注意安全!
生产小抄
| 记录类型 | 观察 | 潜在的迹象 |
|---|---|---|
| 子域名 | 错字或非错字欺骗(例如词缀/前缀) | 可疑的基础设施 |
| 主机名 | 具有高熵的主机名 | 潜在的DNS隧道基础设施 |
| 主机名有27个以上的唯一字符 | DNS隧道基础设施的可能性很高 | |
| AAAA级 | 具有奇数A或AAAA响应的查询 | 潜在的C2基础设施 |
| 知识产权 | 单个IP在查询或域间快速循环 | 快速通 |
| 命名服务器 | 与与动态DNS提供程序相关联的已知错误相关的名称服务器响应 | 攻击者可能正在运行自己的基础设施 |
| CNAME | 受害 | 潜在的网络钓鱼基础设施 |
| CNAME连接到其他已知的坏的基础设施(例如主机名,域等) | 可疑的基础设施 | |
| 三种 | 大型三种记录 | 潜在的DNS隧道基础设施 |
| 大型三种记录 | 潜在的DDoS的基础设施 | |
| TXT响应,带有SPF或DKIM记录,该记录与对域/CNAMEs/子域/名称服务器进行排字处理相关 | 潜在的BEC或钓鱼基础设施 |
额外的资源
DomainTools 101:看Greenbug的DNS隧道在ISMDoor与DomainTools虹膜