Descripción General
Gran parte de mi trabajo como investigador de seguridad consiste en encontrar productos y servicios expuestos en internet. En todos los casos, lo hacía inspeccionando cuerpos de respuesta HTTP y cabeceras en busca de palabras clave específicas. Pero me pregunté: ¿existiría otra forma de detectar estos productos? Aquí es donde mi investigación se extiende hacia DNS.
Este blog explicará cómo mapear productos y servicios detectando pasivamente registros TXT de DNS. Al examinar estos registros, podemos identificar las tecnologías utilizadas en la infraestructura de una organización sin sondear directamente el objetivo. En este blog, también hablaré sobre un caso real reciente: la brecha en la cadena de suministro de Salesloft, y por qué estos métodos de detección son importantes más allá de la teoría.
Los Registros TXT de DNS como Superficie de Detección
Los registros TXT son pasados por alto en la gestión de superficie de ataque, pero son una mina de oro de inteligencia. Las organizaciones los utilizan habitualmente para la verificación de dominio, la autenticación de correo electrónico (SPF, DKIM, DMARC) e integraciones con servicios de terceros. Cada uno de estos registros es esencialmente una miga de pan que puede revelar de qué servicios depende una organización.
Un patrón especialmente útil (y común) es la sintaxis google-site-verification=. Cuando está presente en los registros TXT de un dominio, indica que la organización ha integrado Google Workspace. Desde el punto de vista de la detección, esto es valioso porque:
No requiere análisis intrusivo, solo consultas DNS pasivas.
El host objetivo nunca sabrá que escaneaste su infraestructura, ya que estás consultando servidores DNS públicos.
Se asocia directamente con el uso de proveedores y servicios.
Proporciona indicadores tempranos de posible exposición cuando esos proveedores sufren una brecha.
Ejecuta Tu Propio Análisis
Hoy puedes detectar rápidamente la exposición por Salesloft Drift mediante herramientas y frameworks de código abierto — Nuclei y Amass — usando estas herramientas para realizar una simple comprobación DNS en cualquier dominio. Si se encuentra la cadena drift-domain-verification, indica que el objetivo está ejecutando Drift en su infraestructura. Así es como se ejecutan los siguientes comandos:
Amass
Una vez completado el proceso de enumeración, necesitarás extraer los datos del Open Asset Model (OAM) usando el subcomando assoc:
Ajusta las fechas y el dominio según corresponda.
Después de ejecutar este comando, presentará una lista de organizaciones asociadas como esta:
Nuclei
Sustituye google.com por el dominio que deseas analizar. La salida aparecerá así:
¿Por Qué Debería Importarme?
Los compromisos en la cadena de suministro son especialmente peligrosos porque explotan la confianza. Las estrategias de detección tradicionales suelen quedar rezagadas respecto a las operaciones adversarias en estos contextos. El análisis de registros TXT proporciona un método ligero y escalable para construir un sistema de alerta temprana. Esta técnica consiste en construir un mapa de exposición de productos y servicios a partir de datos DNS. Al catalogar qué dominios dependen de qué proveedores, los defensores obtienen una imagen clara de hasta dónde se extiende su superficie de ataque en la cadena de suministro.
Cuando ocurren brechas como la de Salesloft, ese mapa marca la diferencia entre una respuesta inmediata y una exposición ciega. El gran beneficio de usar esta técnica es que las empresas deben tener un registro TXT para verificar su dominio; si no lo tienen, el servicio de terceros quedará desconectado o dejará de funcionar.
Salesloft Drift: Contexto del Mundo Real
Justo después de mi charla en DEFCON33, se produjo una brecha en la cadena de suministro de Salesloft, y esto subraya por qué este enfoque no es simplemente un ejercicio de investigación. Los atacantes explotaron la integración con Drift para acceder a organizaciones, evadiendo eficazmente los controles perimetrales tradicionales.
Si se pueden identificar rápidamente los terceros de los que dependen las organizaciones — en particular Salesloft Drift a través de registros TXT —, se está en una posición más sólida para:
Priorizar la Caza de Amenazas: Sabiendo que Drift fue afectado, puedes delimitar inmediatamente en qué parte de tu entorno buscar comportamientos sospechosos.
Evaluar el Riesgo de Exposición a Terceros: Muchas organizaciones pueden verse afectadas por ataques a la cadena de suministro; como red/blue teamer, podrías mapear fácilmente la exposición a estos servicios de terceros.
Mejorar la Velocidad de Respuesta ante Incidentes: En lugar de esperar las divulgaciones del proveedor o la cobertura mediática, puedes detectar proactivamente el uso de servicios.
Reflexiones Finales
El incidente de Salesloft nos recuerda que, en el entorno de amenazas actual, tu seguridad es tan fuerte como tu proveedor más débil. La detección de registros TXT no es una solución definitiva, pero es una forma muy eficaz de descubrir dependencias.
A medida que los atacantes siguen aprovechándose de las relaciones de confianza, los defensores necesitan formas sencillas y escalables de entender sus riesgos. Los registros TXT son una de esas formas: un método de detección frecuentemente ignorado con efectos reales muy significativos.