Überblick
Ein Großteil meiner Arbeit als Sicherheitsforscher besteht darin, exponierte Produkte und Dienste im Internet zu finden. In jedem Fall tat ich dies, indem ich HTTP-Antwortkörper und Header nach bestimmten Schlüsselwörtern durchsucht habe. Ich fragte mich jedoch, ob es nicht einen anderen Weg gäbe, diese Produkte zu erkennen. Hier erstreckt sich meine Forschung auf DNS.
Dieser Blog erläutert, wie man Produkte und Dienste durch die passive Erkennung von DNS-TXT-Records kartieren kann. Durch die Untersuchung dieser Records können wir die in der Infrastruktur einer Organisation eingesetzten Technologien identifizieren, ohne die Ziele direkt zu sondieren. In diesem Blog werde ich außerdem einen aktuellen realen Fall besprechen: den Salesloft-Supply-Chain-Einbruch und warum diese Erkennungsmethoden weit über die Theorie hinaus wichtig sind.
DNS-TXT-Records als Erkennungsfläche
TXT-Records werden im Angriffsflächenmanagement häufig übersehen, sind aber eine Goldgrube an Informationen. Organisationen verwenden sie routinemäßig zur Domain-Verifizierung, E-Mail-Authentifizierung (SPF, DKIM, DMARC) und zur Integration von Drittanbieterdiensten. Jeder dieser Records ist im Grunde ein Hinweis, der enthüllen kann, von welchen Diensten eine Organisation abhängt.
Ein besonders nützliches (und verbreitetes) Muster ist die Syntax google-site-verification=. Wenn dieses Muster in den TXT-Records einer Domain vorhanden ist, zeigt dies an, dass die Organisation Google Workspace integriert hat. Aus Erkennungssicht ist das aus folgenden Gründen wertvoll:
Es erfordert kein aufdringliches Scannen — nur passive DNS-Abfragen.
Der Zielhost wird nie wissen, dass Sie seine Infrastruktur analysiert haben, da Sie öffentliche DNS-Server abfragen.
Es lässt sich direkt auf die Nutzung von Anbietern und Diensten zurückführen.
Es liefert Frühwarnindikatoren für potenzielle Exposition, wenn diese Anbieter einen Einbruch erleiden.
Eigenen Scan Starten
Sie können die Salesloft-Drift-Exposition heute schnell über Open-Source-Tools und -Frameworks erkennen — Nuclei und Amass — indem Sie mit diesen Tools eine einfache DNS-Prüfung für eine beliebige Domain durchführen. Wenn der String drift-domain-verification gefunden wird, deutet dies darauf hin, dass das Ziel Drift in seiner Infrastruktur betreibt. So führen Sie die folgenden Befehle aus:
Amass
Nachdem der Enumerierungsprozess abgeschlossen ist, müssen Sie die Daten aus dem Open Asset Model (OAM) mit dem assoc-Unterbefehl extrahieren:
Passen Sie Datum und Domain entsprechend an.
Nachdem Sie diesen Befehl ausgeführt haben, wird eine Liste zugehöriger Organisationen wie folgt angezeigt:
Nuclei
Ersetzen Sie google.com durch die Domain, die Sie scannen möchten. Die Ausgabe erscheint so:
Warum Sollte Mich Das Interessieren?
Supply-Chain-Kompromittierungen sind besonders gefährlich, weil sie Vertrauen ausnutzen. Traditionelle Erkennungsstrategien hinken in diesen Kontexten häufig hinter den Angreifer-Operationen hinterher. Die Analyse von TXT-Records bietet eine leichtgewichtige, skalierbare Methode zur Entwicklung eines Frühwarnsystems. Diese Technik erstellt eine Produkt-Dienst-Expositionskarte aus DNS-Daten. Durch die Katalogisierung, welche Domains von welchen Anbietern abhängen, erhalten Verteidiger ein klares Bild davon, wie weit sich ihre Angriffsfläche in die Supply Chain erstreckt.
Wenn Sicherheitsvorfälle wie bei Salesloft auftreten, ist diese Karte der Unterschied zwischen sofortiger Reaktion und blinder Exposition. Der wesentliche Vorteil dieser Technik liegt darin, dass Unternehmen einen TXT-Record zur Domain-Verifizierung benötigen; fehlt dieser, wird der Drittanbieterdienst getrennt oder geht offline.
Salesloft Drift: Realer Kontext
Kurz nach meinem Vortrag auf der DEFCON33 ereignete sich ein Salesloft-Supply-Chain-Einbruch — und dies verdeutlicht, warum dieser Ansatz kein bloßes Forschungsexperiment ist. Angreifer nutzten die Drift-Integration aus, um Zugang zu Organisationen zu erlangen und dabei traditionelle Perimeter-Controls effektiv zu umgehen.
Wenn man schnell Drittanbieter identifizieren kann, auf die Organisationen angewiesen sind — insbesondere Salesloft Drift über TXT-Records —, ist man in einer stärkeren Position, um:
Threat Hunting zu priorisieren: Da bekannt ist, dass Drift betroffen war, kann man sofort eingrenzen, wo im eigenen Umfeld nach verdächtigem Verhalten gesucht werden sollte.
Das Drittanbieter-Expositionsrisiko zu bewerten: Viele Organisationen können von Supply-Chain-Angriffen betroffen sein; als Red/Blue Teamer könnte man die Exposition gegenüber diesen Drittanbieterdiensten einfach kartieren.
Die Reaktionsgeschwindigkeit bei Vorfällen zu verbessern: Anstatt auf Anbietermitteilungen oder Medienberichte zu warten, kann man die Dienstnutzung proaktiv erkennen.
Abschließende Gedanken
Der Salesloft-Vorfall erinnert uns daran, dass in der heutigen Bedrohungslandschaft die eigene Sicherheit nur so stark ist wie der schwächste Anbieter. Die TXT-Record-Erkennung ist keine Universallösung, aber sie ist ein sehr effektiver Weg, um Abhängigkeiten aufzudecken.
Da Angreifer weiterhin Vertrauensbeziehungen ausnutzen, benötigen Verteidiger einfache und skalierbare Wege, um ihre Risiken zu verstehen. TXT-Records sind ein solcher Weg — eine oft übersehene Erkennungsmethode mit erheblicher realer Wirkung.