Vue d'ensemble
Une grande partie de mon travail en tant que chercheur en sécurité consiste à trouver des produits et services exposés sur internet. Dans chaque cas, je procédais en inspectant les corps de réponse HTTP et les en-têtes à la recherche de mots-clés spécifiques. Mais je me suis demandé s'il n'existait pas une autre façon de détecter ces produits. C'est là que mes recherches se sont étendues au DNS.
Ce blog expliquera comment cartographier les produits et services en détectant passivement les enregistrements TXT de DNS. En examinant ces enregistrements, nous pouvons identifier les technologies utilisées dans l'infrastructure d'une organisation sans sonder directement la cible. Dans ce blog, j'évoquerai également un cas réel récent : la compromission de la chaîne d'approvisionnement de Salesloft, et pourquoi ces méthodes de détection importent bien au-delà de la théorie.
Les Enregistrements TXT DNS comme Surface de Détection
Les enregistrements TXT sont souvent négligés dans la gestion de la surface d'attaque, mais ils constituent une mine d'or de renseignements. Les organisations les utilisent couramment pour la vérification de domaine, l'authentification des e-mails (SPF, DKIM, DMARC) et les intégrations de services tiers. Chacun de ces enregistrements est essentiellement un fil conducteur qui peut révéler de quels services une organisation dépend.
Un modèle particulièrement utile (et courant) est la syntaxe google-site-verification=. Lorsqu'elle est présente dans les enregistrements TXT d'un domaine, cela indique que l'organisation a intégré Google Workspace. Du point de vue de la détection, c'est précieux car :
Cela ne nécessite aucune analyse intrusive — uniquement des requêtes DNS passives.
L'hôte cible ne saura jamais que vous avez analysé son infrastructure, puisque vous interrogez des serveurs DNS publics.
Cela correspond directement à l'utilisation de fournisseurs et de services.
Cela fournit des indicateurs précoces d'exposition potentielle lorsque ces fournisseurs subissent une compromission.
Lancez Votre Propre Analyse
Vous pouvez rapidement détecter l'exposition à Salesloft Drift aujourd'hui grâce à des outils et frameworks open source — Nuclei et Amass — en utilisant ces outils pour effectuer une simple vérification DNS sur n'importe quel domaine. Si la chaîne drift-domain-verification est trouvée, cela indique que la cible utilise Drift dans son infrastructure. Voici comment exécuter les commandes suivantes :
Amass
Une fois le processus d'énumération terminé, vous devrez extraire les données de l'Open Asset Model (OAM) à l'aide de la sous-commande assoc :
Ajustez les dates et le domaine en conséquence.
Après avoir exécuté cette commande, elle présentera une liste d'organisations associées comme suit :
Nuclei
Remplacez google.com par le domaine que vous souhaitez analyser. La sortie apparaîtra ainsi :
Pourquoi Devrais-je M'en Préoccuper ?
Les compromissions de la chaîne d'approvisionnement sont particulièrement dangereuses car elles exploitent la confiance. Les stratégies de détection traditionnelles ont souvent du retard sur les opérations adversariales dans ces contextes. L'analyse des enregistrements TXT fournit une méthode légère et évolutive pour construire un système d'alerte précoce. Cette technique consiste à construire une carte d'exposition produit-service à partir des données DNS. En cataloguant quels domaines s'appuient sur quels fournisseurs, les défenseurs obtiennent une vision claire de l'étendue de leur surface d'attaque dans la chaîne d'approvisionnement.
Lorsque des compromissions comme celle de Salesloft surviennent, cette carte fait la différence entre une réponse immédiate et une exposition aveugle. L'avantage majeur de cette technique est que les entreprises doivent disposer d'un enregistrement TXT pour vérifier leur domaine ; si ce n'est pas le cas, le service tiers sera déconnecté ou mis hors ligne.
Salesloft Drift : Contexte Réel
Juste après ma conférence à DEFCON33, une compromission de la chaîne d'approvisionnement de Salesloft a eu lieu, ce qui illustre pourquoi cette approche n'est pas un simple exercice de recherche. Les attaquants ont exploité l'intégration Drift pour accéder à des organisations, contournant ainsi efficacement les contrôles périmètriques traditionnels.
Si l'on peut rapidement identifier les tiers dont dépendent les organisations — en particulier Salesloft Drift via les enregistrements TXT —, on est en meilleure position pour :
Prioriser la Chasse aux Menaces : Sachant que Drift a été affecté, vous pouvez immédiatement délimiter où dans votre environnement rechercher des comportements suspects.
Évaluer le Risque d'Exposition aux Tiers : De nombreuses organisations peuvent être touchées par des attaques de la chaîne d'approvisionnement ; en tant que red/blue teamer, vous pourriez facilement cartographier l'exposition à ces services tiers.
Améliorer la Vitesse de Réponse aux Incidents : Plutôt que d'attendre les divulgations des fournisseurs ou la couverture médiatique, vous pouvez détecter proactivement l'utilisation des services.
Réflexions Finales
L'incident Salesloft nous rappelle que dans l'environnement de menaces actuel, votre sécurité est aussi solide que votre fournisseur le plus faible. La détection des enregistrements TXT n'est pas une solution universelle, mais c'est un moyen très efficace de découvrir les dépendances.
Alors que les attaquants continuent d'exploiter les relations de confiance, les défenseurs ont besoin de moyens simples et évolutifs pour comprendre leurs risques. Les enregistrements TXT constituent l'une de ces approches — une méthode de détection souvent négligée aux effets réels considérables.