T1590.002: DNS
Зловмисники збирають та аналізують DNS-записи організації (A, AAAA, MX, TXT, SPF, CNAME). Ці дані дозволяють зловмиснику скласти повну мапу ваших веб-ресурсів, поштових серверів та підключених хмарних сервісів. Особливу цінність мають записи TXT та SPF, які часто містять назви сторонніх систем захисту, CRM або маркетингових платформ, що використовуються в компанії.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть збирати інформацію про DNS жертви, яка може бути використана під час вибору цілі. Інформація DNS може включати різноманітні деталі, зокрема зареєстровані сервери імен, а також записи, що описують адресацію для піддоменів цілі, поштових серверів та інших хостів. Записи DNS MX, TXT і SPF також можуть розкрити використання сторонніх хмарних і SaaS-провайдерів, таких як Office 365, G Suite, Salesforce або Zendesk.
Зловмисники можуть збирати цю інформацію різними способами, наприклад, запитуючи або іншим чином збираючи дані через DNS/Passive DNS. Інформація DNS також може бути розкрита зловмисникам через онлайн-ресурси або інші доступні набори даних (наприклад, пошук у відкритих технічних базах даних).
Збір цієї інформації може виявити можливості для інших форм розвідки (пошук у відкритих технічних базах даних, на вебсайтах або активне сканування), створення оперативних ресурсів (придбання або компрометація інфраструктури) та/або початкового доступу (зовнішні віддалені сервіси).
Зловмисники також можуть використовувати передачу зони DNS (тип запиту AXFR) для збору всіх записів із неправильно налаштованого DNS-сервера.
Що хакери «читають» у ваших DNS-записах?
- MX-записи (Mail Exchange): Вказують, куди йде ваша пошта. Якщо там mx.google.com — ви на Gmail. Якщо адреса вашого сервера — хакер знає його IP і може атакувати його безпосередньо.
- TXT та SPF записи: Це справжній скарб. Запис SPF (v=spf1 include:_spf.google.com include:sendgrid.net …) каже хакеру: “Ми користуємося Google Mail та сервісом розсилок SendGrid”. Хакер може підготувати фішинг, замаскований під звіт SendGrid.
- CNAME (Canonical Name): Часто вказують на хмарні ресурси, наприклад, vpn.company.ua -> global-vpn.aws.com. Це видає вашу інфраструктуру в AWS.
- DNS Zone Transfer (AXFR): Це «джекпот». У нормі один DNS-сервер передає копію всієї бази іншому. Якщо хакеру вдасться імітувати цей запит до вашого сервера, він отримає всі ваші піддомени (наприклад, dev-server.internal.company.ua, test-db.company.ua), про які ви не хотіли повідомляти публічно.
Чому це небезпечно?
- Пасивність: Звичайні запити DNS виглядають як легітимний трафік. Ви ніколи не дізнаєтеся, що хтось вивчає ваші записи.
- Passive DNS: Існують бази (наприклад, VirusTotal або RiskIQ), які роками зберігають історію ваших DNS-записів. Навіть якщо ви видалили вразливий піддомен сьогодні, хакер знайде його в історії.
- Масштабування: Знаючи структуру DNS, зловмисник може знайти слабку ланку — наприклад, старий тестовий сервер, про який усі забули.
Як захиститися?
- Заборона AXFR: Переконайтеся, що ваші DNS-сервери дозволяють передачу зони (Zone Transfer) тільки довіреним IP-адресам (вашим вторинним DNS-серверам).
- Мінімізація TXT-записів: Видаляйте застарілі записи верифікації (наприклад, для сервісів, якими ви вже не користуєтеся).
- Cloudflare / DNS Proxy: Використовуйте сервіси, які приховують ваші реальні IP-адреси за своїми проксі-серверами.
- Split-Horizon DNS: Налаштуйте систему так, щоб зовнішні DNS-сервери бачили лише публічні ресурси, а внутрішні піддомени були доступні лише з корпоративної мережі.