Passive DNS

Llevo un par de semanas trabajando, montando una infraestructura para montar un Passive DNS y poder registrar todas las consultas DNS que realizan las muestras de malware que voy analizando, tanto manual como automáticamente.

Cual sería la estructura del Passive DNS:

 

passive_dns

 

Pues a grandes rasgos tendremos lo siguiente, un conjunto de máquinas que se encargarán de analizar malware, las máquinas pasarán por un gateway que registrará las peticiones y respuestas DNS y las almacenará en una base de datos.

El mismo escenario se puede diseñar usando un port-mirroring, por ejemplo. “Cada maestrillo tiene su librillo”. En mi caso he instalado la estructura de mas arriba.

¿Para que sirve un passive DNS?

Pues en la disciplina de análisis de malware, el passive DNS registrará todas las peticiones DNS que realizan las muestras. Muchas muestras de malware, para actuar realizan una petición DNS hacia su C&C y si este responde con la IP que toca, el malware realiza las acciones pertinentes.

Se da el caso de que los criminales cambian la IP que resuelve el dominio por lo tanto es útil guardar un histórico para poder seguir una campaña entre otras cosas, útil no?

Hay muchos proyectos de passive DNS en GitHub o Code Google, escoged el que mas os guste,

¿Que veremos en el LOG?


[email protected]:/home/marc/tools# tail -30 /var/log/passivedns.log
1375140572.834404||192.168.10.11||8.8.8.8||IN||d3d6wi7c7pa6m0.cloudfront.net.||A||54.230.63.104||60||6
1375176214.971610||192.168.10.11||8.8.8.8||IN||d3d6wi7c7pa6m0.cloudfront.net.||A||54.240.186.180||60||9
1375177560.825022||192.168.10.11||208.67.222.222||IN||mail.emailcampaigns.net.||A||216.27.11.70||60||3
1375171254.646965||192.168.10.11||8.8.8.8||IN||e6845.ce.akamaiedge.net.||A||23.38.85.163||20||20
1375177560.922126||192.168.10.11||208.67.220.220||IN||mx.rediffmail.rediff.akadns.net.||A||119.252.147.10||55||12
1375173867.405042||192.168.10.11||8.8.8.8||IN||mx.rediffmail.rediff.akadns.net.||A||202.137.234.30||53||1
1375177540.623902||192.168.10.11||8.8.4.4||IN||mail01.dridco.com.||A||190.221.0.21||300||1
1375177549.130308||192.168.10.11||8.8.4.4||IN||mail.dilos.com.||A||94.23.45.144||1026||1
1375177561.185202||192.168.10.11||8.8.8.8||IN||mta7.am0.yahoodns.net.||A||63.250.192.46||244||19
1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||66.196.118.33||244||42
1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||66.196.118.35||244||42
1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||98.136.216.26||218||23
1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||98.138.112.32||218||23
1375177561.185202||192.168.10.11||8.8.8.8||IN||mta7.am0.yahoodns.net.||A||63.250.192.45||247||27
1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||98.138.112.37||247||49
1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||66.196.118.36||247||49
1375177561.185202||192.168.10.11||8.8.8.8||IN||mta7.am0.yahoodns.net.||A||98.138.112.35||247||26
1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||98.136.217.202||247||30
1375177561.538206||192.168.10.11||208.67.220.220||IN||mta7.am0.yahoodns.net.||A||98.136.217.203||247||30
1375173869.521861||192.168.10.11||4.2.2.1||IN||mta7.am0.yahoodns.net.||A||98.138.112.34||247||6
1375177561.185202||192.168.10.11||8.8.8.8||IN||mta7.am0.yahoodns.net.||A||98.136.216.25||247||27
1375173867.514481||192.168.10.11||198.153.194.1||IN||126mx02.mxmail.netease.com.||A||220.181.14.134||559||2
1375173867.514481||192.168.10.11||198.153.194.1||IN||126mx02.mxmail.netease.com.||A||220.181.14.133||559||2
1375177530.954715||192.168.10.11||208.67.222.222||IN||cphegtd2-itn02.egmont.com.||A||193.3.130.160||3570||1
1375177549.221149||192.168.10.11||4.2.2.1||IN||vmx.northstate.net.redcondor.net.||A||216.237.227.31||1645||1
1375177549.221149||192.168.10.11||4.2.2.1||IN||vmx.northstate.net.redcondor.net.||A||216.237.227.34||1645||1
1375177549.221149||192.168.10.11||4.2.2.1||IN||vmx.northstate.net.redcondor.net.||A||216.237.227.35||1645||1
1375177549.221149||192.168.10.11||4.2.2.1||IN||vmx.northstate.net.redcondor.net.||A||216.237.227.36||1645||1
1375177549.221149||192.168.10.11||4.2.2.1||IN||vmx.northstate.net.redcondor.net.||A||216.237.227.33||1645||1
1375177549.221149||192.168.10.11||4.2.2.1||IN||vmx.northstate.net.redcondor.net.||A||216.237.227.37||1645||1

Como veis se guarda la IP a la que resuelve cada dominio, significa que podremos consultar un histórico de que dominio resolvió a que IP.

Una de las cosas que podemos hacer es parsear listas públicas que sabemos que contienen listas de dominios maliciosos, podemos coger un lista que hay en:

http://www.nothink.org/sandbox_and_utilities.php

Podemos hacer una búsqueda de dominios maliciosos,

Ejemplo:


[*] |PassiveDNS Results| - /var/log/passivedns.log: 3050 total entries

[+] Found - host 'download-guru.com' matches
[+] Found - host 'download-instantly.com' matches
[+] Found - host 'goutil.com' matches
[+] Found - host 'okozo.com' matches
[+] Found - host 'powerpackdl.com' matches
[+] Found - host 'reportbox3.info' matches
[+] Found - host 'twonext.com' matches
--
[=] 7 of entries matched from malhosts.txt

El Passive DNS es útil para la recolección de información que luego podremos transformar en inteligencia, una vez que tratemos los datos para nuestras investigaciones.


Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES