Post

Passive DNS Tools

Posted
By Hyoeun Choi
12 min read
Passive DNS Tools

Passive DNS Analysis: Mapping Threat Infrastructure by Tracking Domain & IP History

In cybersecurity investigations and threat intelligence, tracking an attacker’s digital footprint is critically important. Attackers constantly change hosting IP addresses and move domains to hide their infrastructure. If an analyst can determine what IP addresses a specific domain has used in the past, or what domains have been linked to a specific IP address, they can uncover crucial clues to map an attacker’s hidden infrastructure and predict their next moves. The core technology behind this analysis is Passive DNS (pDNS).

This article introduces the main professional tools used to analyze the historical records of domains and IPs using pDNS data and examines the value each tool provides to security professionals.

1. SecurityTrails: The Leader in DNS and WHOIS History

SecurityTrails is recognized as one of the most comprehensive and in-depth platforms for tracking the historical records of domains and IPs. It allows security analysts to meticulously observe the changes a domain undergoes over time.

  • Key Features: The greatest strength of SecurityTrails is its vast Historical DNS database. It allows you to look up the complete history of all A, AAAA, MX, NS, and TXT records ever associated with a specific domain. Conversely, it’s also possible to reverse-track all domains that have ever pointed to a specific IP address. Furthermore, it offers a Historical WHOIS feature to track changes in domain ownership information.

  • Use Case Scenario: When a specific domain used by an attacker (malicious.com) is discovered, SecurityTrails can be used to identify all IP addresses that the domain has used in the past. Based on this list of IPs, an analyst can check if other malicious domains have shared the same IPs, thereby mapping the overall scale and infrastructure of the attack campaign.

2. VirusTotal: Connecting Assets to Malicious Activity and Context

While VirusTotal is primarily a malware analysis platform, it offers incredibly powerful IP and domain intelligence features based on its vast data collection. It excels at identifying the connection between an asset and malicious activity.

  • Key Features: After searching for a domain or IP address, the “Relations” tab provides a visual representation of all the Passive DNS Replication information VirusTotal has collected. This makes it easy to understand the asset’s IP history. More importantly, it allows you to instantly see if that IP or domain has been associated with any malicious file samples or was part of known malicious URL patterns.

  • Use Case Scenario: An analyst looks up a suspicious domain found in a phishing email on VirusTotal. They check the domain’s IP history and determine if those IPs have previously been used in other malware distribution campaigns or as Command and Control (C2) servers. This helps in assessing the severity of the current threat and attributing it to a potential threat actor.

3. Censys: Providing a Snapshot of the Server Environment

Censys is a search engine that scans the entire internet to collect detailed information about what services and software are running on each IP address. This provides a “snapshot” of the technology stack a domain was operating on at a specific point in time.

  • Key Features: Censys provides not only a list of a domain’s past IP addresses but also a Historical View showing what ports were open on that IP at a given time, what service banners were exposed (e.g., Apache 2.4.41, OpenSSH 8.2), and which SSL/TLS certificates were in use.

  • Use Case Scenario: Assume a company’s website was compromised six months ago. Using Censys, an analyst can identify the IP address the website’s domain was using six months prior and see the services running at that time (e.g., an outdated version of the Apache web server). This allows them to hypothesize which known vulnerability the attacker likely exploited, thereby narrowing the scope of the investigation.

Conclusion: The Importance of Analyzing Historical Data

The tools introduced above create the greatest synergy when used in a complementary fashion, each leveraging its unique strengths. A typical workflow—identifying the complete DNS change history with SecurityTrails, analyzing its links to malicious activity with VirusTotal, and reconstructing the technical environment at a specific time with Censys—is a fundamental practice in modern cyber threat investigations.

Ultimately, analyzing the historical records of domains and IPs goes beyond simply finding a defunct website. It is a core threat intelligence activity that allows us to reconstruct an attacker’s infrastructure, uncover hidden threats, and predict future attacks.

Passive DNS 분석: 도메인 IP 히스토리 추적을 통한 위협 인프라 맵핑

사이버 보안 조사와 위협 인텔리전스에서 공격자의 디지털 발자취를 추적하는 것은 매우 중요하다. 공격자는 자신의 인프라를 숨기기 위해 끊임없이 호스팅 IP 주소를 변경하고 도메인을 옮겨 다닌다. 이때, 특정 도메인이 과거에 어떤 IP 주소를 사용했는지, 혹은 특정 IP 주소에 어떤 도메인들이 연결되었는지를 파악할 수 있다면 공격자의 숨겨진 인프라를 맵핑하고 다음 공격을 예측하는 데 결정적인 단서를 얻을 수 있다. 이러한 분석의 핵심 기술이 바로 Passive DNS (pDNS) 이다.

본 글에서는 pDNS 데이터를 활용하여 도메인과 IP의 과거 이력을 분석하는 데 사용되는 주요 전문 툴들을 소개하고, 각 툴이 보안 전문가에게 어떤 가치를 제공하는지 분석하고자 한다.

1. SecurityTrails: DNS 및 WHOIS 히스토리의 절대강자

SecurityTrails는 도메인과 IP의 과거 기록을 추적하는 데 있어 가장 포괄적이고 깊이 있는 데이터를 제공하는 플랫폼 중 하나로 평가받는다. 보안 분석가들은 이 툴을 통해 시간의 흐름에 따른 도메인의 변화를 세밀하게 관찰할 수 있다.

  • 핵심 기능: SecurityTrails의 가장 큰 강점은 방대한 Historical DNS 데이터베이스이다. 특정 도메인과 연결되었던 모든 A, AAAA, MX, NS, TXT 레코드의 전체 이력을 조회할 수 있다. 반대로, 특정 IP 주소를 거쳐 간 모든 도메인을 역추적하는 것도 가능하다. 또한, 도메인 소유자 정보의 변경 내역을 추적하는 Historical WHOIS 기능도 제공한다.

  • 활용 시나리오: 공격자가 사용한 특정 도메인(malicious.com)을 발견했을 때, SecurityTrails를 통해 해당 도메인이 과거에 사용했던 모든 IP 주소를 파악할 수 있다. 분석가는 이 IP 목록을 기반으로, 동일한 IP를 공유했던 또 다른 악성 도메인이 있는지 확인하여 공격 캠페인의 전체적인 규모와 인프라를 파악할 수 있다.

2. VirusTotal: 악성 행위와 컨텍스트 연결

VirusTotal은 본래 악성코드 분석 플랫폼이지만, 방대한 데이터를 기반으로 매우 강력한 IP 및 도메인 인텔리전스 기능을 제공한다. 특히 악성 행위와의 연관성을 파악하는 데 탁월하다.

  • 핵심 기능: 도메인이나 IP 주소를 검색한 후 “Relations” 탭을 보면, VirusTotal이 수집한 모든 Passive DNS Replication 정보를 시각적으로 확인할 수 있다. 이를 통해 해당 자산의 IP 변경 이력을 쉽게 파악할 수 있으며, 더 나아가 해당 IP나 도메인이 어떤 악성 파일 샘플과 관련되었는지, 어떤 악성 URL 패턴의 일부였는지를 즉시 확인할 수 있다.

  • 활용 시나리오: 피싱 이메일에서 발견된 의심스러운 도메인을 VirusTotal에서 조회한다. 도메인의 IP 히스토리를 확인하고, 해당 IP들이 과거에 다른 멀웨어 유포 캠페인이나 C2(Command and Control) 서버로 사용된 적이 있는지 확인하여 현재 위협의 심각성과 배후 그룹을 추정할 수 있다.

3. Censys: 서버 환경의 스냅샷 제공

Censys는 인터넷 전반을 스캔하여 각 IP 주소에서 어떤 서비스와 소프트웨어가 실행되고 있는지에 대한 상세한 정보를 수집하는 검색 엔진이다. 이는 특정 시점에 해당 도메인이 어떤 기술 스택으로 운영되었는지에 대한 ‘스냅샷’을 제공한다.

  • 핵심 기능: Censys는 도메인의 과거 IP 주소 목록뿐만 아니라, 해당 IP에서 특정 시점에 어떤 포트가 열려 있었고, 어떤 서비스 배너(예: Apache 2.4.41, OpenSSH 8.2)가 노출되었으며, 어떤 SSL/TLS 인증서가 사용되었는지에 대한 Historical View를 제공한다.

  • 활용 시나리오: 특정 기업의 웹사이트가 6개월 전에 침해되었다고 가정하자. Censys를 통해 6개월 전 해당 웹사이트의 도메인이 사용했던 IP 주소와 당시 실행 중이던 서비스(예: 구 버전의 Apache 웹 서버)를 확인할 수 있다. 이를 통해 공격자가 어떤 알려진 취약점을 이용했을 가능성이 높은지 추정하고 조사의 범위를 좁힐 수 있다.

결론: 과거 데이터 분석의 중요성

위에 소개된 툴들은 각각의 강점을 가지고 상호 보완적으로 사용될 때 가장 큰 시너지를 낸다. SecurityTrails로 전체적인 DNS 변경 이력을 파악하고, VirusTotal로 악성 행위와의 연관성을 분석하며, Censys로 특정 시점의 기술적 환경을 재구성하는 워크플로우는 현대 사이버 위협 조사의 기본 중 하나이다.

결론적으로, 도메인과 IP의 과거 이력을 분석하는 것은 단순히 사라진 웹사이트를 찾는 것을 넘어, 공격자의 인프라를 재구성하고, 숨겨진 위협을 발견하며, 미래의 공격을 예측하는 위협 인텔리전스의 핵심적인 활동이라 할 수 있다.

Tools, Reconnaissance
pDNS
This post is licensed under CC BY 4.0 by the author.