ТЕХНІЧНИЙ ОПИС

Зловмисники можуть шукати дані DNS для отримання інформації про жертв, яка може бути використана під час вибору цілі. Інформація DNS може включати різноманітні деталі, зокрема зареєстровані сервери імен, а також записи, що визначають адресацію піддоменів цілі, поштових серверів та інших хостів.

Зловмисники можуть шукати дані DNS для збору дієвої інформації. Суб’єкти загроз можуть надсилати запити безпосередньо до серверів імен цільової організації або шукати через централізовані репозиторії зафіксованих відповідей на запити DNS (відомі як Passive DNS). Зловмисники також можуть шукати та націлюватися на помилки конфігурації або витоки DNS, які розкривають інформацію про внутрішні мережі. Інформація з цих джерел може виявити можливості для інших форм розвідки (наприклад, пошук на вебсайтах, що належать жертві, або пошук відкритих вебсайтів/доменів), розгортання оперативних ресурсів (наприклад, придбання або компрометація інфраструктури) та/або отримання початкового доступу (наприклад, зовнішні сервіси віддаленого доступу або довірені відносини).

Чому DNS — це «дорожня карта» для хакера?

  • DNS — це публічна телефонна книга інтернету. На відміну від прямого сканування, запити до Passive DNS баз (наприклад, VirusTotal, SecurityTrails, PassiveTotal) абсолютно непомітні для жертви.
  • Мапування інфраструктури (Footprinting): Знайшовши один домен, хакер використовує методи перебору (brute-force) піддоменів або аналіз пасивних даних, щоб знайти dev, staging, test або vpn сервери. Часто ці сервери мають слабший захист, ніж основний сайт.
  • Аналіз поштової безпеки: Записи SPF, DKIM та DMARC підказують зловмиснику, наскільки легко буде підробити лист від вашого імені. Якщо SPF налаштований неправильно (~all замість -all), це зелене світло для фішингової атаки.
  • Витоки внутрішніх IP: Через неправильне налаштування DNS-серверів (Zone Transfer / AXFR), хакер може отримати повну копію вашої зони DNS, включаючи імена та IP-адреси внутрішніх ресурсів, які не мали бути публічними.

Сценарії розвідки:

  • «Пошук входу для адміна»: Хакер знаходить піддомен citrix.company.com або rdp.company.com. Тепер він точно знає, через яку технологію ваші співробітники працюють віддалено, і може готувати атаку саме на неї.
  • «Тіньова ІТ-інфраструктура»: Через історію DNS зловмисник бачить, що рік тому компанія використовувала старий сервіс, який зараз видалений з основного сайту, але його IP все ще активний і доступний.
  • «Підготовка до фішингу»: Перевірка MX-записів показує, що компанія використовує конкретне хмарне рішення (наприклад, Mimecast або Proofpoint). Хакер створює фішингову сторінку, яка імітує інтерфейс саме цього сервісу захисту.

Як захиститися?

  • Мінімізація DNS-сліду: Видаляйте старі та невикористовувані записи (A, CNAME). Не використовуйте очевидні імена для чутливих ресурсів.
  • Моніторинг сертифікатів (CT Logs): Використовуйте сервіси моніторингу Certificate Transparency, щоб дізнатися, коли хтось (або ваш власний розробник) реєструє новий сертифікат для піддомену — хакери бачать це миттєво.
  • Налаштування SPF/DMARC: Жорстко обмежте список серверів, яким дозволено відправляти пошту від вашого імені, щоб ускладнити проведення фішингових кампаній.