نظرة عامة
يتمحور جزء كبير من عملي كباحث أمني حول اكتشاف المنتجات والخدمات المكشوفة على الإنترنت. في جميع الحالات، كنت أفعل ذلك بفحص أجسام استجابات HTTP والترويسات بحثاً عن كلمات مفتاحية محددة. لكنني تساءلت: هل ثمة طريقة أخرى للكشف عن هذه المنتجات؟ من هنا امتد بحثي ليشمل DNS.
سيشرح هذا المقال كيفية رسم خريطة للمنتجات والخدمات عبر الكشف السلبي عن سجلات DNS TXT. من خلال فحص هذه السجلات، يمكننا التعرف على التقنيات المستخدمة في بنية تحتية لمؤسسة ما دون استهداف النظام مباشرةً. سأتناول أيضاً حالة حقيقية حديثة: خرق سلسلة التوريد في Salesloft، ولماذا تتخطى أهمية هذه الأساليب الكشفية حدود النظرية.
سجلات DNS TXT كسطح كشف
غالباً ما تُغفَل سجلات TXT في إدارة سطح الهجوم، غير أنها كنز من المعلومات الاستخباراتية. تعتمدها المؤسسات بشكل اعتيادي للتحقق من الدومين، ومصادقة البريد الإلكتروني (SPF, DKIM, DMARC)، وربط خدمات الجهات الخارجية. كل سجل من هذه السجلات هو في جوهره أثر يكشف عن الخدمات التي تعتمد عليها المؤسسة.
أحد الأنماط الأكثر فائدة وشيوعاً هو صيغة google-site-verification=. حين يظهر هذا النص في سجلات TXT لدومين ما، يدل ذلك على أن المؤسسة قد دمجت Google Workspace. من منظور الكشف، هذا ذو قيمة لأن:
لا يستلزم فحصاً تدخلياً — اكتفاءً بطلبات DNS السلبية.
لن يعلم المضيف المستهدف أبداً أنك فحصت بنيته التحتية، إذ إنك تستعلم من خوادم DNS العامة.
يرتبط ارتباطاً مباشراً باستخدام الموردين والخدمات.
يوفر مؤشرات مبكرة للتعرض المحتمل حين يتعرض هؤلاء الموردون لخرق.
شغّل فحصك الخاص
يمكنك اليوم اكتشاف تعرض Salesloft Drift بسرعة باستخدام أدوات وأطر عمل مفتوحة المصدر — Nuclei و Amass — وإجراء فحص DNS بسيط على أي دومين. إذا عُثر على السلسلة drift-domain-verification، فهذا يشير إلى أن الهدف يشغّل Drift في بنيته التحتية. إليك كيفية تشغيل الأوامر التالية:
Amass
بعد اكتمال عملية الإحصاء، ستحتاج إلى استخراج البيانات من Open Asset Model (OAM) باستخدام الأمر الفرعي assoc:
يمكنك تعديل التواريخ والدومين وفق الحاجة.
بعد تشغيل هذا الأمر، ستظهر قائمة بالمؤسسات المرتبطة على النحو التالي:
Nuclei
استبدل google.com بالدومين الذي تريد فحصه. ستظهر النتائج على النحو التالي:
لماذا يجب أن يهمني هذا؟
اختراقات سلسلة التوريد خطيرة بشكل خاص لأنها تستغل الثقة. كثيراً ما تتأخر استراتيجيات الكشف التقليدية عن عمليات المهاجمين في هذه السياقات. يوفر تحليل سجلات TXT أسلوباً خفيف الوزن وقابلاً للتوسع لبناء نظام إنذار مبكر. تقوم هذه التقنية على رسم خريطة تعرض للمنتجات والخدمات من بيانات DNS. بتصنيف أي الدومينات تعتمد على أي موردين، يحصل المدافعون على صورة واضحة لمدى امتداد سطح هجومهم في سلسلة التوريد.
حين تقع اختراقات كاختراق Salesloft، تصبح هذه الخريطة الفارق بين الاستجابة الفورية والتعرض الأعمى. الميزة الرئيسية لهذه التقنية أن الشركات ملزمة بامتلاك سجل TXT للتحقق من دومينها؛ وإن لم يكن لديها ذلك، ستنقطع خدمة الطرف الثالث أو تتوقف.
Salesloft Drift: السياق الواقعي
بُعيد حديثي في DEFCON33، وقع خرق في سلسلة توريد Salesloft، مما يبرز أن هذا النهج ليس مجرد تمرين بحثي. استغل المهاجمون تكامل Drift للوصول إلى المؤسسات، متجاوزين بفعالية ضوابط الحماية المحيطية التقليدية.
إذا استطاع المرء تحديد الجهات الخارجية التي تعتمد عليها المؤسسات بسرعة — ولا سيما Salesloft Drift عبر سجلات TXT — فسيكون في وضع أقوى من أجل:
تحديد أولويات مطاردة التهديدات: مع العلم بتأثر Drift، يمكنك تضييق نطاق البحث فوراً لتحديد المكان المحتمل للسلوك المشبوه في بيئتك.
تقييم مخاطر التعرض للجهات الخارجية: كثير من المؤسسات قد تتأثر بهجمات سلسلة التوريد؛ بوصفك عضواً في الفريق الأحمر أو الأزرق، يمكنك بسهولة رسم خريطة التعرض لهذه الخدمات الخارجية.
تحسين سرعة الاستجابة للحوادث: بدلاً من انتظار إفصاح الموردين أو التغطية الإعلامية، يمكنك الكشف الاستباقي عن استخدام الخدمات.
خواطر ختامية
يُذكّرنا حادث Salesloft بأنه في بيئة التهديدات اليوم، لن يكون أمانك أقوى من أضعف مورد لديك. الكشف عبر سجلات TXT ليس حلاً شاملاً، لكنه وسيلة فعّالة جداً للكشف عن التبعيات.
مع استمرار المهاجمين في استغلال علاقات الثقة، يحتاج المدافعون إلى طرق سهلة وقابلة للتوسع لفهم مخاطرهم. سجلات TXT إحدى هذه الطرق — أسلوب كشف كثيراً ما يُغفل، لكنه ذو تأثير واقعي بالغ الأهمية.