{"id":486,"date":"2022-01-26T21:47:32","date_gmt":"2022-01-26T20:47:32","guid":{"rendered":"https:\/\/counterintelligence.pl\/?p=486"},"modified":"2022-01-26T21:49:32","modified_gmt":"2022-01-26T20:49:32","slug":"obserwujac-internetowe-domy-analizujemy-domeny-i-ich-infrastrukture","status":"publish","type":"post","link":"https:\/\/counterintelligence.pl\/en\/2022\/01\/obserwujac-internetowe-domy-analizujemy-domeny-i-ich-infrastrukture\/","title":{"rendered":"By observing Internet houses - we analyze domains and their infrastructure"},"content":{"rendered":"\n

Jednym z najcz\u0119stszych zada\u0144 zwi\u0105zanych z OSINTem i threat intelligence jest analiza domen Internetowych pod k\u0105tem infrastruktury jaka za nimi stoi i informacji o podmiotach odpowiedzialnych za ich stworzenie. Domeny stanowi\u0105 bowiem istotny element operacji cyber, kiedy mog\u0105 s\u0142u\u017cy\u0107 do komunikacji C2, dostarczenia z\u0142o\u015bliwego oprogramowania jak i operacji informacyjnych, dostarczaj\u0105c spreparowane tre\u015bci. A z pewno\u015bci\u0105 ich analiza jest istotnym elementem threat intelligence w ramach analizy incydent\u00f3w bezpiecze\u0144stwa, i pozwala rozszerzy\u0107 wiedz\u0119 o napastniku, kt\u00f3rego dzia\u0142ania staramy si\u0119 zmapowa\u0107 cho\u0107by na Diamond Model<\/a>. W bardziej og\u00f3lnym kontek\u015bcie natomiast informacja o w\u0142a\u015bcicielach domeny, serwisach jakie s\u0105 dost\u0119pne na serwerze czy to gdzie zosta\u0142y zarejestrowane pomaga w odnalezieniu powi\u0105za\u0144 pomi\u0119dzy aktywno\u015bciami i intencji autor\u00f3w. Przyk\u0142adowo wi\u0119c rzekomo niepowi\u0105zane serwisu propaguj\u0105ce pewne tre\u015bci mog\u0105 by\u0107 dzie\u0142em tej samej organizacji, a wy\u015bledzenie punkt\u00f3w wsp\u00f3lnych w charakterystyce domen mo\u017ce pom\u00f3c w odkryciu prawdziwej skali aktywno\u015bci. <\/p>\n\n\n\n

Ze wzgl\u0119du na to jak\u0105 istotn\u0105 funkcje pe\u0142ni analiza domen, do dyspozycji mamy bardzo wiele narz\u0119dzi – w tym sporo darmowych. Z drugiej strony jednak nie spos\u00f3b nie zauwa\u017cy\u0107, \u017ce zakres informacji zmieni\u0142 si\u0119 na przestrzeni ostatnich lat co wymusza zmiany metodologii poszukiwa\u0144. Jest to zwi\u0105zane z wprowadzeniem GDPR, kt\u00f3re wymusi\u0142o na podmiotach rejestruj\u0105cych domeny ukrywanie danych osobowych zwi\u0105zanych z rejestracj\u0105, ale r\u00f3wnie\u017c zwyk\u0142ym wy\u015bcigiem zbroje\u0144 pomi\u0119dzy analitykami, a rejestruj\u0105cymi domeny. Niezale\u017cnie od regulacji prawnych, praktyka korzystania z prywatnej rejestracji kt\u00f3ra ukrywa dane o podmiocie rejestruj\u0105cym, korzystania z hosting\u00f3w kt\u00f3re nie interesuj\u0105 si\u0119 za bardzo kiedy korzystaj\u0105 z nich operatorzy malware’u i tak dalej sta\u0142a si\u0119 powszechna. Sprawia to, \u017ce wiele domen u\u017cywanych do wrogiej aktywno\u015bci ma podobne cechy og\u00f3lne, a analitycy musz\u0105 bra\u0107 pod uwag\u0119 wi\u0119cej element\u00f3w takich jak serwery DNS, certyfikaty TLS b\u0105d\u017a sk\u0142adnie samej nazwy domeny w celu odnalezienia powi\u0105za\u0144. Przechodz\u0105c do rzeczy, przyjrzymy si\u0119 informacjom o domenie kt\u00f3re mo\u017cemy zebra\u0107 i narz\u0119dziom kt\u00f3re w tym pomog\u0105.<\/p>\n\n\n\n

Zaczynaj\u0105c od podstaw, domena to ci\u0105g znak\u00f3w kt\u00f3rzy s\u0142u\u017cy identyfikacji zasob\u00f3w poprzez DNS. Kiedy wi\u0119c wpisujemy adres w przegl\u0105dark\u0119 Internetow\u0105, ta odpytuje serwery DNS o rekordy kt\u00f3re pozwalaj\u0105 na przeprowadzenie po\u0142\u0105czenia – jak adres IP. Korzystaj\u0105c z zebranych danych przegl\u0105darka umo\u017cliwia nam wi\u0119c interakcje z zasobami korzystajac z nazw \u0142atwych do zapmi\u0119tania jak wikipedia.org. Aby uzyska\u0107 domen\u0119 i m\u00f3c edytowa\u0107 jej w\u0142a\u015bciwo\u015bci, tak aby kierowa\u0142a do wybranych przez nas zasob\u00f3w, musimy j\u0105 zarejestrowa\u0107 korzystaj\u0105c z us\u0142ug podmiotu rejestruj\u0105cego nazwy domen posiadaj\u0105cego akredytacje co do konkretnej domeny najwy\u017cszego poziomu (jak np.: .pl). Po zarejestrowaniu mo\u017cemy edytowa\u0107 jej rekordy jak A (adres IPv4), AAAA (adres IPv6) czy MX (serwer mailowy), kieruj\u0105c odwiedzaj\u0105cych do odpowiednich zasob\u00f3w. Tak w du\u017cym uproszczeniu wygl\u0105da mechanizm dzia\u0142ania domen, a teraz zobaczmy ile informacji o domenie mo\u017cemy uzyska\u0107 z zewn\u0105trz.<\/p>\n\n\n\n

Najbardziej podstawowym narz\u0119dziem jest WHOIS, czyli system uzyskiwania informacji o danych rejestracyjnych domen. W najprostszym wydaniu mo\u017cemy skorzysta\u0107 narz\u0119dzia whois w terminalu Windowsa b\u0105d\u017a Linuxa i zobaczy\u0107 dane o interesuj\u0105cej nas domenie:<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Na przyk\u0142adzie wp.pl widzimy podstawowe informacje takie jak serwery nazw, to kiedy zosta\u0142a utworzona i kiedy nale\u017cy odnowi\u0107 domen\u0119 czy adres rejestratora. Widzimy r\u00f3wnie\u017c, \u017ce domena nie korzysta z DNSSEC, czyli rozszerzenia umo\u017cliwiaj\u0105cego kryptograficzn\u0105 weryfikacje poprawno\u015bci danych<\/a> i \u017ar\u00f3d\u0142a ich pochodzenia. Je\u017celi nie chcemy korzysta\u0107 z narz\u0119dzia lokalnie, to mo\u017cemy skorzysta\u0107 z jednego z wielu serwis\u00f3w kt\u00f3ry odpyta za nas o informacje, np.: Domain Tools<\/a>. Opr\u00f3cz suchego rekordu, Domain Tools poka\u017ce r\u00f3wnie\u017c profil domeny wzbogacony o dodatkowe informacje:<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Widzimy wi\u0119c tutaj r\u00f3wnie\u017c adres IP wraz z informacj\u0105 ile stron jest tam hostowanych, fizyczn\u0105 lokalizacje serwera, ASN<\/a> i typ serwera. Domain Tools dostarcza takie dane gdy\u017c poza zwyk\u0142ym narz\u0119dziem do odpytania o WHOIS, w swojej ofercie ma r\u00f3wnie\u017c bardziej zaawansowane narz\u0119dzie do analizy – Iris – wi\u0119c dostarcza tutaj niejako przedsmak mo\u017cliwo\u015bci. Pozosta\u0144my jednak na razie przy og\u00f3lnodost\u0119pnych informacjach. Jak wspomnia\u0142em wcze\u015bniej, o tym gdzie skieruje nas domena, decyduj\u0105 skonfigurowane rekordy DNS. Mo\u017cemy wiec spojrze\u0107 na zgromadzone w nich informacje korzystaj\u0105c cho\u0107by z mxtoolbox.com<\/a>. Jednym z bardziej intersuj\u0105cych warto\u015bci jest TXT <\/a>– umo\u017cliwia ono w\u0142a\u015bcicielowi dodanie dowolnych warto\u015bci tekstowych. Pierwotnie mia\u0142o ono s\u0142u\u017cy\u0107 dodawaniu komentarzy w formie zrozumia\u0142ej dla cz\u0142owieka, jednak obecnie cz\u0119sto mo\u017cemy znale\u017a\u0107 tam dane wykorzystywane przez us\u0142ugi zewn\u0119trzne. Za przyk\u0142ad we\u017amy moj\u0105 w\u0142asn\u0105 domen\u0119 – je\u017celi \u015bledzicie mnie na Twitterze, wiecie, \u017ce korzystam z nicka lawsecnet<\/a>, i skrzynki kamil.bojarski@lawsec.net. Spojrzenie na zawarto\u015b\u0107 pola TXT pozwoli w tym przypadku ustali\u0107, \u017ce dostawc\u0105 us\u0142ug dla mojej skrzynki jest ProtonMail:<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Znajdziemy tam bowiem klucz kt\u00f3ry otrzyma\u0142em od ProtonMail i umie\u015bci\u0142em w rekordzie DNS w celu potwierdzenia, \u017ce faktycznie jestem w\u0142a\u015bcicielem domeny. Je\u017celi wr\u00f3cimy do naszego poprzedniego przyk\u0142adu z wp.pl, to r\u00f3wnie\u017c odnajdziemy tam podobne wpisy:<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Tym razem jednak odnosz\u0105ce si\u0119 do us\u0142ug Facebooka i Googla. W obu przyk\u0142adach znajdziemy r\u00f3wnie\u017c rekord SPF, kt\u00f3ry stanowi zabezpieczenie przed podszywaniem si\u0119 pod nadawc\u0119 maili i identyfikuje serwery uprawnione do wysy\u0142ania wiadomo\u015bci w imieniu domeny<\/a>.<\/p>\n\n\n\n

Kolejnymi warto\u015bciami wartami uwagi s\u0105 zapisy MX i NS, odpowiedzialne odpowiednio za serwery mailowe i serwery nazwy dla domeny. W praktyce threat intelligence zwi\u0105zanej ze \u015bledzeniem infrastruktury wykorzystywanej w atakach, warto\u015bci zawarte w tych rekordach cz\u0119sto mog\u0105 s\u0142u\u017cy\u0107 nam jako punkt zaczepienia do znajdowania potencjalnie powi\u0105zanych domen. Dla wp.pl zapisy te wygl\u0105daj\u0105 tak:<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n

Przez d\u0142ugi czas moim ulubionym narz\u0119dziem do analizy infrastruktury sieciowej by\u0142 PassiveTotal, dost\u0119pny r\u00f3wnie\u017c w darmowej wersji Community Edition<\/a>. Niestety jednak, mo\u017cliwo\u015bci darmowej wersji zosta\u0142y mocno ograniczone w zakresie tego jak daleko wstecz si\u0119gaj\u0105 i jakie dane s\u0105 dost\u0119pne, co znacznie obni\u017cy\u0142o warto\u015b\u0107 tego \u017ar\u00f3d\u0142a. Wci\u0105\u017c mo\u017ce jednak warto przyjrze\u0107 si\u0119 mo\u017cliwo\u015bci\u0105 jakie mo\u017ce nam zaoferowa\u0107 (ostatecznie jednak za darmo \ud83d\ude1b ). Jednym z najbardziej charakterystycznych element\u00f3w interfejsu jest kalendarz przedstawiaj\u0105cy kiedy domena by\u0142a dost\u0119pna i do jakich adres\u00f3w prowadzi\u0142a:<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Poni\u017cej znajdziemy zak\u0142adki prowadz\u0105ce do widok\u00f3w przedstawiaj\u0105cych szczeg\u00f3\u0142owe informacje. Tutaj jednak mo\u017cemy prze\u017cy\u0107 lekki zaw\u00f3d, gdy\u017c jak wspomnia\u0142em mo\u017cliwo\u015bci wersji darmowej s\u0105 mocno okrojone. Wci\u0105\u017c dost\u0119pne s\u0105 jednak nast\u0119puj\u0105ce widoki:<\/p>\n\n\n\n