Visão Geral
Grande parte do meu trabalho como pesquisador de segurança envolve encontrar produtos e serviços expostos na internet. Em todos os casos, fiz isso inspecionando corpos de resposta HTTP e cabeçalhos em busca de palavras-chave específicas. Mas me perguntei se haveria outra forma de detectar esses produtos. É aqui que minha pesquisa se estende ao DNS.
Este blog vai explicar como mapear produtos e serviços detectando passivamente registros TXT de DNS. Ao examinar esses registros, podemos identificar as tecnologias usadas na infraestrutura de uma organização sem sondar diretamente o alvo. Neste blog, também discutirei um caso real recente: a violação na cadeia de suprimentos do Salesloft, e por que esses métodos de detecção são importantes além da teoria.
Registros TXT de DNS como Superfície de Detecção
Os registros TXT são subestimados no gerenciamento de superfície de ataque, mas são uma mina de ouro de inteligência. As organizações os utilizam rotineiramente para verificação de domínio, autenticação de e-mail (SPF, DKIM, DMARC) e integrações com serviços de terceiros. Cada um desses registros é essencialmente uma trilha que pode revelar de quais serviços uma organização depende.
Um padrão especialmente útil (e comum) é a sintaxe google-site-verification=. Quando presente nos registros TXT de um domínio, indica que a organização integrou o Google Workspace. Do ponto de vista da detecção, isso é valioso porque:
Não requer varredura intrusiva — apenas consultas DNS passivas.
O host alvo nunca saberá que você varreu sua infraestrutura, pois você está consultando servidores DNS públicos.
Mapeia diretamente para o uso de fornecedores e serviços.
Fornece indicadores precoces de possível exposição quando esses fornecedores sofrem uma violação.
Execute Seu Próprio Scan
Você pode detectar rapidamente a exposição ao Salesloft Drift hoje mesmo por meio de ferramentas e frameworks de código aberto — Nuclei e Amass — usando essas ferramentas para realizar uma verificação DNS simples em qualquer domínio. Se a string drift-domain-verification for encontrada, indica que o alvo está executando o Drift em sua infraestrutura. Veja como executar os seguintes comandos:
Amass
Após a conclusão do processo de enumeração, você precisará extrair os dados do Open Asset Model (OAM) usando o subcomando assoc:
Sinta-se à vontade para ajustar as datas e o domínio conforme necessário.
Após executar este comando, ele apresentará uma lista de organizações associadas como esta:
Nuclei
Substitua google.com pelo domínio que você deseja verificar. A saída aparecerá assim:
Por Que Devo Me Importar?
As comprometimentos na cadeia de suprimentos são especialmente perigosos porque exploram a confiança. As estratégias de detecção tradicionais frequentemente ficam para trás das operações adversárias nesses contextos. A análise de registros TXT fornece um método leve e escalável para construir um sistema de alerta precoce. Essa técnica consiste em construir um mapa de exposição de produtos e serviços a partir de dados DNS. Ao catalogar quais domínios dependem de quais fornecedores, os defensores obtêm uma imagem clara de até onde sua superfície de ataque se estende na cadeia de suprimentos.
Quando violações como a do Salesloft ocorrem, esse mapa faz a diferença entre uma resposta imediata e uma exposição cega. O grande benefício de usar essa técnica é que as empresas precisam ter um registro TXT para verificar seu domínio; se não tiverem, o serviço de terceiros será desconectado ou ficará offline.
Salesloft Drift: Contexto do Mundo Real
Logo após minha palestra no DEFCON33, houve uma violação na cadeia de suprimentos do Salesloft, e isso evidencia por que essa abordagem não é apenas um exercício de pesquisa. Os atacantes exploraram a integração com o Drift para obter acesso a organizações, contornando efetivamente os controles de perímetro tradicionais.
Se for possível identificar rapidamente os terceiros dos quais as organizações dependem — especialmente o Salesloft Drift via registros TXT —, você estará em uma posição mais forte para:
Priorizar a Caça a Ameaças: Sabendo que o Drift foi afetado, você pode delimitar imediatamente onde no seu ambiente buscar comportamentos suspeitos.
Avaliar o Risco de Exposição a Terceiros: Muitas organizações podem ser afetadas por ataques à cadeia de suprimentos; como red/blue teamer, você poderia mapear facilmente a exposição a esses serviços de terceiros.
Melhorar a Velocidade de Resposta a Incidentes: Em vez de aguardar divulgações de fornecedores ou cobertura da mídia, você pode detectar proativamente o uso de serviços.
Considerações Finais
O incidente do Salesloft nos lembra que, no ambiente de ameaças atual, sua segurança é tão forte quanto o seu fornecedor mais fraco. A detecção de registros TXT não é uma solução definitiva, mas é uma forma muito eficaz de descobrir dependências.
À medida que os atacantes continuam explorando relações de confiança, os defensores precisam de formas simples e escaláveis de entender seus riscos. Os registros TXT são uma dessas formas — um método de detecção frequentemente ignorado com efeitos reais significativos.