T1596.002: WHOIS
Зловмисники використовують публічні дані WHOIS для збору інформації про власників доменів, закріплені IP-адреси та контактні дані адміністраторів. Реєстраційні дані часто містять імена, електронні адреси та номери телефонів персоналу, що відповідає за ІТ-інфраструктуру. Це дозволяє агресору не лише картувати мережу, а й створювати переконливі вектори для соціальної інженерії.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть шукати публічні дані WHOIS для отримання інформації про жертв, яка може бути використана під час вибору цілі. Дані WHOIS зберігаються регіональними інтернет-реєстраторами (RIR), відповідальними за розподіл та призначення інтернет-ресурсів, таких як доменні імена. Будь-хто може надсилати запити до серверів WHOIS для отримання інформації про зареєстрований домен, наприклад, призначені блоки IP-адрес, контактну інформацію та сервери імен DNS.
Зловмисники можуть шукати дані WHOIS для збору дієвої інформації. Суб’єкти загроз можуть використовувати онлайн-ресурси або утиліти командного рядка, щоб «просіювати» дані WHOIS у пошуках інформації про потенційних жертв. Інформація з цих джерел може виявити можливості для інших форм розвідки (наприклад, активне сканування або фішинг для отримання інформації), розгортання оперативних ресурсів (наприклад, придбання або компрометація інфраструктури) та/або отримання початкового доступу (наприклад, зовнішні сервіси віддаленого доступу або довірені відносини).
WHOIS як інструмент ідентифікації цілі Хоча впровадження GDPR значно обмежило обсяг публічних даних (багато полів тепер відображаються як “REDACTED FOR PRIVACY”), WHOIS залишається важливим етапом розвідки.
Пошук пов’язаних активів: Зловмисник може використовувати адресу електронної пошти реєстратора або назву організації, щоб знайти всі інші домени, зареєстровані на ту саму особу. Це допомагає виявити забуті проєкти або тестові майданчики компанії.
Визначення провайдера (Hosting Identification): WHOIS показує, де саме хоститься домен та хто є реєстратором. Це дає хакеру підказку, які саме типи фішингових сторінок (наприклад, фейкова сторінка входу в Cloudflare або GoDaddy) будуть найбільш ефективними.
Історичні дані (Historical WHOIS): Якщо зараз дані приховані, хакери звертаються до баз з історичними записами. Часто в записах 2-3 річної давнини можна знайти реальні пошти та телефони адмінів, які досі працюють у компанії.
Сценарії використання:
- «Прямий контакт»: Хакер бачить у WHOIS-записі телефон техпідтримки. Він телефонує за цим номером, представляється співробітником реєстратора і повідомляє про “проблеми з делегуванням домену”, випитуючи технічні деталі внутрішньої мережі (Vishing).
- «Розширення вектору атаки»: Компанія захистила основний домен company.com, але через WHOIS хакер знаходить, що той самий адмін зареєстрував company-marketing.ua для рекламної акції. Цей сайт набагато вразливіший, і через нього можна спробувати дістатися до внутрішніх даних клієнтів.
- «Блоки IP-адрес»: Для великих організацій WHOIS показує цілі діапазони IP (наприклад, /24), що належать компанії. Це дає хакеру чіткий список цілей для подальшого активного сканування.
Як захиститися?
- WHOIS Privacy / Domain Privacy: Обов’язково вмикайте послугу приховування даних у вашого реєстратора. Це замінює вашу реальну інформацію на дані сервісу-посередника.
- Використання корпоративних пошт: Ніколи не реєструйте домени на особисті пошти співробітників (admin77@gmail.com). Використовуйте загальні адреси на кшталт hostmaster@company.com.
- Моніторинг змін: Налаштуйте сповіщення про зміну статусів або записів вашого домену, щоб вчасно помітити спроби “угону” (Domain Hijacking).