КиберДед official
@deedcoin_club
Что такое история DNS и зачем она нужна в кибербезопасности?
?? Представьте себе, что DNS — это огромная телефонная книга интернета, только вместо номеров телефонов там IP-адреса сайтов. Но, если обычная телефонная книга просто даёт номер, то история DNS — это её архив. В нем можно узнать, кому принадлежал номер в прошлом, кто его раньше использовал, и были ли какие-то подозрительные "переезды".
Как найти связи между доменами?
Допустим, вы заметили подозрительный сайт — dart-shopp.top. Сейчас он "живет" на облаках Cloudflare. Проведя расследование вы узнаете что 3 года назад его IP-адрес хостинга был на reg.ru.
Значит полиции можно сделать запрос провайдеру reg.ru о подозрительном сайте, и узнать, кто ранее размещал этот домен на их площадке.
Более того, заглянув в Вебархив можно наткнуться на интересные артефакты от прошлых доменов. Например, почтовый адрес на сайте dart-shopp.top может быть от старого домена info@darkroom.biz. Появляется еще один вектор исследования по такой же схеме. Кроме того, есть хороший способ посмотреть на связь между доменами через сходный рекламный идентификатор. Порой исследование одного сайта способно вскрыть целую сеть мошеннических сайтов.
Как компании “палятся” через свои DNS-записи
?? Конкуренты тоже внимательно следят за изменениями в DNS. Например, если у крупного интернет-магазина появляются новые TXT-записи вроде DMARC, SPF со значениями вроде v=spf1 include:_spf.google.com include: salesforce.com ip4:208.1.117.17 ~all. это может указывать на подключение Salesforce, запуск воронки, CRM-автоматизации.
Или вдруг появляется подключение к сервису Zendesk, можно сделать вывод: “ага, расширяют службу поддержки”. А если внезапно появился поддомен tomsk.company.com — значит, компания расширяется, и следует ждать открытия представительств в других городах. Так что, обычным мониторингом, можно многое понять про стратегию развития компании.
Ловим мошенников на “тёплом”
?????? Классика жанра: мошенники рекламируют cryptoworld.shop и делают его максимально похожим на легальный. Даже вешают на него чужой сертификат с Company House. Но, если сейчас домен “чист”, история DNS может показать, что раньше он использовал IP, замеченный в вирусных атаках Emotet. Такие совпадения — это сигнал, что от домена нужно держаться подальше.
В двух словах: DNS-история — это цифровая археология
?? Это как раскопки: ищешь, что было раньше, чтобы понять, что происходит сейчас. Даже если злоумышленники пытаются всё замести — следы останутся. И если вы занимаетесь кибербезопасностью, OSINT или расследованиями, история DNS — ваш незаменимый инструмент для поиска "скелетов в шкафу".
? Подробнее продвинутые техники будем разбирать на осеннем семинаре по ОСИНТ “От запроса до Due-Diligence отчёта”
?? Представьте себе, что DNS — это огромная телефонная книга интернета, только вместо номеров телефонов там IP-адреса сайтов. Но, если обычная телефонная книга просто даёт номер, то история DNS — это её архив. В нем можно узнать, кому принадлежал номер в прошлом, кто его раньше использовал, и были ли какие-то подозрительные "переезды".
Как найти связи между доменами?
Допустим, вы заметили подозрительный сайт — dart-shopp.top. Сейчас он "живет" на облаках Cloudflare. Проведя расследование вы узнаете что 3 года назад его IP-адрес хостинга был на reg.ru.
Значит полиции можно сделать запрос провайдеру reg.ru о подозрительном сайте, и узнать, кто ранее размещал этот домен на их площадке.
Более того, заглянув в Вебархив можно наткнуться на интересные артефакты от прошлых доменов. Например, почтовый адрес на сайте dart-shopp.top может быть от старого домена info@darkroom.biz. Появляется еще один вектор исследования по такой же схеме. Кроме того, есть хороший способ посмотреть на связь между доменами через сходный рекламный идентификатор. Порой исследование одного сайта способно вскрыть целую сеть мошеннических сайтов.
Как компании “палятся” через свои DNS-записи
?? Конкуренты тоже внимательно следят за изменениями в DNS. Например, если у крупного интернет-магазина появляются новые TXT-записи вроде DMARC, SPF со значениями вроде v=spf1 include:_spf.google.com include: salesforce.com ip4:208.1.117.17 ~all. это может указывать на подключение Salesforce, запуск воронки, CRM-автоматизации.
Или вдруг появляется подключение к сервису Zendesk, можно сделать вывод: “ага, расширяют службу поддержки”. А если внезапно появился поддомен tomsk.company.com — значит, компания расширяется, и следует ждать открытия представительств в других городах. Так что, обычным мониторингом, можно многое понять про стратегию развития компании.
Ловим мошенников на “тёплом”
?????? Классика жанра: мошенники рекламируют cryptoworld.shop и делают его максимально похожим на легальный. Даже вешают на него чужой сертификат с Company House. Но, если сейчас домен “чист”, история DNS может показать, что раньше он использовал IP, замеченный в вирусных атаках Emotet. Такие совпадения — это сигнал, что от домена нужно держаться подальше.
В двух словах: DNS-история — это цифровая археология
?? Это как раскопки: ищешь, что было раньше, чтобы понять, что происходит сейчас. Даже если злоумышленники пытаются всё замести — следы останутся. И если вы занимаетесь кибербезопасностью, OSINT или расследованиями, история DNS — ваш незаменимый инструмент для поиска "скелетов в шкафу".
? Подробнее продвинутые техники будем разбирать на осеннем семинаре по ОСИНТ “От запроса до Due-Diligence отчёта”
? 67
? 37
? 20
? 4
??? 2
2 112 8.4K
Обсуждение 2
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram