Приветствую, уважаемый
читатель!
Недавно на портале WikiLeaks выложили
большое количество хакерских инструментов и методик ЦРУ, с помощью которых,
предположительно, они взламывают всё и вся. Дополнительно был выложен список IP-адресов публичных DNS-резолверов, о нём и поговорим.
Честно
говоря, цель этого списка мне до конца не ясна, зачем ЦРУ адреса 5,822 резолверов.
Идеи две:
- Данные резолверы каким-либо образом скомпрометированы.
- Данные резолверы используются в осуществлении DDoS-атаках (DNS-amplification).
Скачать список
резолверов можно тут - https://wikileaks.org/ciav7p1/cms/page_3375132.html
. Загрузив его в Splunk
как
CSV-файл
с разделителем pipe
(|),
можно получить список стран, чьи DNS-резолверы
интересны ЦРУ:
source="CIAip.csv"
| iplocation allfields=true
IP
| stats count by IP,Country
| eval country = Country
|
table country
|
dedup country
Albania
Algeria
Andorra
Argentina
Armenia
Australia
Austria
Azerbaijan
Bahrain
Belarus
Belgium
Bosnia and Herzegovina
Botswana
Brazil
Bulgaria
Canada
Cape Verde
China
Colombia
Croatia
Curaçao
Cyprus
Czech Republic
Denmark
Egypt
Estonia
Finland
France
Georgia
Germany
Greece
Hashemite Kingdom of Jordan
Hong Kong
Hungary
Iceland
India
Indonesia
Iran
Ireland
Israel
Italy
Japan
Jersey
Kazakhstan
Kenya
Kuwait
Kyrgyzstan
Latvia
Lesotho
Liechtenstein
Luxembourg
Macedonia
Malta
Mexico
Monaco
Montenegro
Netherlands
New Zealand
Nigeria
Norway
Oman
Pakistan
Palestine
Poland
Portugal
Qatar
Republic of Lithuania
Republic of Moldova
Romania
Russia
Réunion
San Marino
Saudi Arabia
Serbia
Slovak Republic
Slovenia
Spain
Sweden
Switzerland
Taiwan
Thailand
Turkey
Ukraine
United Kingdom
United States
Теперь отобразим их на карте в Splunk:
| inputlookup geo_attr_countries
| search [search source="CIAip.csv"
| iplocation allfields=true
IP
| stats count by IP,Country
| eval country = Country
| table country
| dedup country]
| fields country,region_un
| geom geo_countries featureIdField=country
Как
видно, тут вся Европа, почти вся Азия и Америка, пара стран Африки.
Предположим, что данные DNS-резолверы
всё-таки скомпрометированы и им нет доверия, но как их проверить?
Для
проверки этого тезиса я воспользовался IDS Maltrail, отправил по одному DNS-запросу к каждому резолверу и
пропинговал их. Никакой тысячи алертов не получил J
Исходя
из этого, думаю, данные резолверы могли использоваться в осуществлении DDoS-атак.
Комментариев нет:
Отправить комментарий