Investigação passiva - Análise de URLs, hostnames, e endereços IP

Caso de uso

As habilidades descritas neste subtópico podem ser utilizadas para iniciar uma investigação passiva de servidores na internet. Uma investigação passiva é aquela em que nenhum site é carregado, sobre a qual buscam-se apenas dados públicos disponíveis. Assim, atacantes não receberão alertas sobre as visitas ao site, nem saberão que uma investigação está em andamento. A partir da avaliação de domínio e informação de IP, uma pessoa investigadora pode gerar informação técnica valiosa sobre o ataque, útil para educar a comunidade, compartilhar informação de ameaças, descobrir infraestruturas de ataque relacionadas e contextualizá-las de acordo com padrões mais abrangentes.

Algumas destas habilidades podem ser necessárias em uma triagem inicial, por exemplo, para ajudar na decisão sobre um link ser malicioso ou não. Também serão muito úteis durante uma análise aprofundada de cabeçalhos de e-mails, descrita na próxima seção.

Objetivos

Após completar este módulo, profissionais serão capazes de:

• Entender a estrutura de uma URL;
• Compreender os tipos de registro DNS, o que é WHOIS, e as diferenças entre IPv4 e IPv6;
• Conduzir reconhecimento básico de domínios;
• Identificar proxies reversos comuns que “escondem” endereços IP originais para fins de proteção contra DDoS (ataques de rede distribuídos com objetivo de negação de serviço) ou otimização de entrega, como Cloudflare, Akamai, e Fastly;
• Descobrir/enumerar subdomínios.

Seção principal

A investigação passiva faz uso de ferramentas e recursos de inteligência de fontes abertas (OSINT), que podem nos dar muitos detalhes sobre as “pegadas digitais” de uma infraestrutura de ataque sem que percebam que estão sob investigação.

Conhecimento fundamental

Nos aprofundaremos no básico de URLs, DNS, e IPv4/IPv6. Se você se sente confortável com esses conceitos, excelente! Pule para a seção de “Fluxo de trabalho”. Caso contrário, dê uma lida nos documentos e recursos a seguir:

• Construção de uma URL
  • É importante saber ler uma URL e entender o significado de suas partes, incluindo esquema, subdomínios, domínio primário, domínios de nível superior (“top-level domains”), e a identificação do caminho ou parâmetros de uma URL. Caso precise revisar o conhecimento, acesse esta página da MDN (em inglês).
• Encurtadores de URL
  • Algumas mensagens maliciosas podem utilizar um encurtador de URL para esconder o link “real”. Para obter o destino final do link, há serviços online como unshorten.me (em inglês). Note, porém, que desencurtar uma URL pode alertar atacantes de que uma investigação está sendo conduzida, tornando-a uma análise ativa;
• DNS
  • Introdução ao Domain Name System (em português)
  • Tipos de registro de DNS (em português)
  • WHOIS - É interessante compreender como registros WHOIS são criados e armazenados, como lê-los, e inquirir o registro WHOIS para quaisquer domínios. Para maiores informações, acesse este guia (em inglês).
• IPv4/IPv6
  • O que é IPv4? (em inglês)
  • Diferenças entre IPv4 e IPv6 (em inglês)
  • Entendendo endereços IP (em inglês)
• Para complementar endereços IP, é útil ler sobre números de portas (em inglês).

Fluxo de trabalho: ferramentas & competências

Investigações passivas de IP/DNS podem ser divididas em várias categorias.

Coleta de informações essenciais de IP/DNS

Na investigação, um dos primeiros passos a serem tomados é obter informações iniciais acerca de domínios e hosts. Diversas ferramentas podem ajudar:

• WHOIS

  Registros WHOIS são publicamente acessíveis e contêm informações úteis sobre um determinado domínio. Aprenda a utilizar, por exemplo, ferramentas web como ARIN whois (em inglês), who.is (em inglês) ou serviços via linha de comando (em inglês) para visualizar registros WHOIS, e aprenda a tirar conclusões a partir da informação de quem solicitou o registro (caso tenha sido divulgada), de quem fez o registro, data do registro e os nameservers (servidores de nomes) que indicam onde estão hospedados os registros oficiais para a zona de DNS.

  WHOIS também pode ser executado com um endereço na tentativa de identificar a empresa responsável pelo IP, isto é, a empresa de hospedagem que está atendendo o site.

• dig & host

  dig é uma ferramenta de linha de comando pré-instalada ou disponível para os principais sistemas operacionais, que permite a busca (siga o tutorial aqui, em inglês) de registros DNS de qualquer domínio, diferenciando-o entre diferentes tipos de registro. Embora este tutorial contenha muitos elementos da sintaxe do dig, a busca por tipos de registro A (hostname) e MX (para troca de e-mails) é mais comum. dig é bem popular entre analistas por ser simples e fácil de automatizar. host (acesse o tutorial em inglês) é outra ferramenta de linha de comando, que rapidamente converte um hostname em um endereço IP com sintaxe mais simples ainda. Ainda, há muitas alternativas ao dig, com mais funcionalidades ou melhor legibilidade, como o doggo (em inglês).

  Procure por nameservers/servidores de nome de proxy reverso de distribuição comum, como os oferecidos por Akamai (por exemplo, a1-64.akam.net), Cloudflare (por exemplo, eve.ns.cloudflare.com), Fastly (por exemplo, ns3.fastly.net), pois eles ocultarão o IP real do servidor de origem. Após algum tempo, você será capaz de reconhecer facilmente muitos destes proxies. Por exemplo, se você rodar o comando dig para buscar por theguardian.com, verá que ele é mantido por servidores da Fastly (pelo menos no momento em que isso foi escrito).

• GeoIP

  Endereços de IP são mais ou menos vinculados a localidades físicas. Isso significa que, se você conhece um endereço IP, você pode descobrir (demo de pesquisa MaxMind GeoIP) com alguma certeza, em que lugar do mundo (país, região) está o dispositivo que utiliza tal endereço. Note que a precisão de pesquisas com base em IPs pode variar enormemente: às vezes, é possível rastrear um endereço IP até alcançar uma organização específica, enquanto que em outras vezes só se consegue uma granularidade a nível de país.

🛠️ Reserve um tempo para praticar usando esses serviços. Você poderia, por exemplo, pesquisar seu próprio site ou o da organização da qual faz parte.

Descoberta de informações ocultas de DNS/IP

Há uma variedade de formas de se obter informação adicional sobre hosts de um domínio. Perceba, no entanto, que a maioria destas técnicas funciona de vez em quando, e frequentemente falha. Caso uma delas não funcione, não se sinta desencorajade. Alguns destes métodos incluem:

• Uso de transferência de zona DNS. Uma funcionalidade (muitas vezes desabilitada na internet) de servidores de DNS autoritativo é fornecer o conjunto inteiro de registros DNS para um determinado domínio, para sincronizar servidores de réplica com o servidor primário. Leia este guia (em inglês) sobre como utilizar dig e outras ferramentas para desvendar subdomínios com base na transferência de zona DNS.
• Subdomínios por força bruta. É possível supor subdomínios usando uma lista de prefixos comuns e solicitando os endereços IP ao servidor DNS (por exemplo, webmail.attacker.com, vpn.attacker.com, remoteaccess.attacker.com, etc.). Podemos encontrar domínios “escondidos” enquanto o servidor disponibiliza uma resposta NXDOMAIN (domínio inexistente, ou “no such domain”) para hostnames inexistentes. O guia sobre enumeração de subdomínios (em inglês) também lista algumas dessas ferramentas de força bruta.
• Pesquisa reversa de endereços IP adjacentes. Alguns servidores DNS permitem a pesquisa de um hostname para um endereço IP específico. Geralmente, infraestruturas auto hospedadas existem em um bloco pequeno de endereços IP. Dito isso, em alguns casos, é possível pesquisar pelos hostnames de endereços IP próximos (127.0.0.1-127.0.0.254, por exemplo) a partir do endereço IP de hostname (127.0.0.5, por exemplo).

Existem ferramentas que utilizam estas e outras técnicas para descobrir recursos de rede adicionais. Uma delas, ainda em desenvolvimento, é o Fierce (em inglês). Outra ferramenta popular é o DNSRecon (em inglês). Este post de blog que descreve o DNSRecon (em inglês) também inclui uma lista com outras ferramentas populares de enumeração de DNS.

Melhores informações sobre IP/DNS com serviços de escaneamento de rede

Ao conseguir informações acerca do identificador (domínios e IPs), você pode aprofundar a pesquisa utilizando serviços que permitem investigações adicionais sobre o host e quaisquer atividades relacionadas.

Aprenda a visualizar portas abertas, serviços ativos, banner de serviços de um dado IP usando inúmeros serviços de varredura de inteligência da web. É importante notar que continua sendo uma técnica de investigação passiva, uma vez que tais serviços escaneiam a web repetidamente para obter conjuntos de dados, e que você não iniciará atividades novas na infraestrutura de interesse:

• Use Censys Search (em inglês) para observar portas abertas, serviços em andamento, certificados TLS, e mais, para um determinado IP.
• Use Shodan (em inglês) (a assinatura é exigida para algumas funcionalidades, bem como o uso de filtros em buscas); acesse a referência (em inglês) e exemplos (em inglês) para mais informações sobre os serviços rodando em um servidor pelo endereço IP. Além disso, Shodan também realiza buscas por todos os servidores que rodam serviços com um banner específico.
• Use DNS Dumpster (em inglês) para buscar potenciais superfícies de ataque de serviços voltados para a internet.

Serviços similares e bancos de dados podem ajudar a identificar as atividades e o histórico de um determinado servidor/serviço.

Outros serviços de escaneamento também reúnem histórico de DNS, para consultar outras resoluções de domínio ou subdomínio para um determinado IP ou domínio, quando apareceram/desapareceram, e assim por diante.

• Security Trails (em inglês)
• Microsoft Defender XDR (em inglês) (anteriormente RiskIQ) fornece histórico limitado de DNS e resoluções de dados para clientes free-tier (nível gratuito).

Melhores informações sobre IP/DNS com bancos de dados de inteligência de ameaças

Muitos serviços coletam indicadores de ameaça e histórico de comportamento malicioso. Caso precise garantir que nenhuma atividade de escaneamento seja iniciada (o que tornaria a investigação ativa), certifique-se de que você não inicie um novo escaneamento na busca (o VirusTotal permite a análise de uma URL, por exemplo, induzindo um novo escaneamento de uma URL, assim, iniciando atividade possível de ser detectada).

• Alienvault OTX (em inglês) é um recurso open source para indicadores maliciosos voltado para a comunidade. Buscar um IP ou nome de host trará informações OSINT úteis, bem como registros de quaisquer atividades maliciosas previamente obtidas.
• Mandiant Advantage (em inglês) (de propriedade do Google) fornece funcionalidades de busca limitadas em nível gratuito.

Busca por certificados

Atualmente, quase todo site usa HTTPS, o qual utiliza uma tecnologia conhecida como TLS (Transport Layer Security, ou segurança da camada de transporte). Sites maliciosos a utilizam também, em parte debochando da crença de pessoas usuárias de que HTTPS junto ao símbolo de cadeado na barra de endereço do navegador significa que o site está seguro, independentemente de outros fatores.

Certificados TLS devem ser assinados por uma Autoridade de Certificação (CA) para que tanto o certificado em si quanto o navegador o julguem ser confiável. Assim, uma quantidade substancial de dados sobre o domínio pode estar disponível para a investigação na busca por infraestruturas compartilhadas, subdomínios, identificadores e outros recursos.

Dados provenientes de certificados são publicamente disponibilizados graças à prática da Transparência de Certificados (CT), em que Autoridades de Certificação incluem todos os certificados emitidos para logs/registros públicos invioláveis. Entender esse sistema pode se mostrar útil — veja um resumo no site da Certificate Transparency (em inglês) ou examine o resumo técnico de Como CT funciona (em inglês). Isso ajuda quem quer aprender mais sobre rastreio e detecção de infraestruturas maliciosas com um entendimento abrangente do sistema.

O uso prático de busca por certificados envolve procurar domínios, subdomínios, IPs, identificar informações relevantes como datas e informações correlacionadas encontradas nos certificados emitidos.

Leia atentamente o guia sobre certificados (em inglês), que descreve campos chave de investigação e buscas utilizando Censys e Shodan, e veja o vídeo de 10 minutos no YouTube (em inglês) com a mesma pesquisa utilizando crt.sh (em inglês). Ser capaz de utilizar essas três ferramentas de busca é bem vantajoso. Em particular, assegure-se de entender:

• Que campos são relevantes em um certificado ao conduzir uma investigação;
• Como realizar buscas dentre tais campos em plataformas variadas;
• Como identificar subdomínios, IPs de hosts, domínios alternativos emitidos para um certificado.

Perceba que a sintaxe da API de busca do Censys mudou em 2021, e algumas buscas nos tutoriais citados anteriormente não funcionarão. Por exemplo, em vez de parsed.names:, simplesmente utilize names:. Muitas ferramentas foram construídas em torno dos registros/logs de transparência de certificados. Tente, por exemplo, enumerar subdomínios utilizando MassDNS. Instruções sobre como usar scripts/ct.py estão na página README (“Leia-me”, em tradução livre).

Censys possui outras referências de leitura relacionadas a técnicas avançadas de rastreio e caça a atores de ameaças no texto Rastreamento de infraestrutura persistente avançada (em inglês).

Pontos de atenção

Ao utilizar ferramentas como WHOIS, você encontrará muitos endereços encobertos pelo Cloudflare ou serviços correlatos. Significa que administradores do endereço estão hospedando-o parcialmente utilizando um serviço terceirizado para manter anonimato ou como proteção contra ataques de negação de serviço, por exemplo. De maneira similar, muitos domínios usam serviços de privacidade para garantir que seus dados não fiquem visíveis no WHOIS. Algumas pessoas também colocam dados falsos no WHOIS. Se este for o caso, a análise do endereço não produzirá boas informações (exceto, talvez, pela data de criação do domínio), e será necessário utilizar formas alternativas de análise.

Muitas URLs maliciosas em e-mails de phishing usam (às vezes múltiplos) redirecionamentos, ou seja, a URL de partida pode ser menos relevante para a análise. Identificar redirecionamentos e outros IPs envolvidos exigirão interação ativa com a URL, assunto coberto pela habilidade de investigação ativa.

Atacantes podem hospedar seus próprios servidores DNS e rastrear solicitações de acesso. Sendo assim, as solicitações podem não ser “passivas”, e podem alertar atacantes sobre a investigação em andamento. Tome cuidado especialmente com hostnames que podem conter identificadores, como r2378r233yr39wjwr.example.com.

Atividade prática

Escolha um domínio aleatório, certificando-se de que ele não esteja hospedado por uma proxy de distribuição de conteúdo/reversa como Cloudflare (é possível descobrir isso por meio de ferramentas como dig e a opção de NS ao buscar nameservers). Utilizando as ferramentas citadas, investigue o domínio, e tente explicar:

• Onde o domínio está registrado e, caso a informação esteja disponível, quem o registrou?
• Qual é o endereço IP do domínio?
• Quem gerencia este endereço IP?
• Onde se localiza o servidor?
• (Caso haja acesso ao Shodan/Censys) Que serviços estão rodando nesse servidor?
• Que outros domínios estão hospedados no mesmo IP?
• Consegue encontrar subdomínios para esse domínio?

Checagem de habilidades

Faça os seguintes exercícios com colegas ou uma pessoa mentora mais experientes em investigação passiva de servidores na internet:

• Complete o room (ou “sala”, em tradução adaptada) do reconhecimento passivo (em inglês) no TryHackMe.
• Faça o exercício da seção “Atividade prática”, idealmente com um domínio diferente, e repasse o processo e descobertas com a pessoa par ou mentora. Peça para que revisem seu trabalho e comentem sobre o processo e os resultados obtidos. Pode ser um bom exercício discutir especificamente como encontrar subdomínios existentes no domínio, e sobre a precisão das pesquisas com GeoIP relacionadas a estes domínios. Como atividade extra, fuce as configurações avançadas do dig e monte uma automação básica, por exemplo, solicitando uma lista de domínios a partir de um arquivo de texto, e forneça informações sobre eles.
• Caso tenha uma mensagem real de phishing ou, alternativamente, use um domínio de phishing no PhishTank (em inglês; o nome vem de um trocadilho com “tanque de peixes”, ou “fish tank”) e o analise — perceba que o site coleta domínios, e não mensagens.

Recursos de aprendizagem