Обзор
Значительная часть моей работы как исследователя безопасности связана с поиском открытых продуктов и сервисов в интернете. Во всех случаях я делал это, изучая тела HTTP-ответов и заголовки в поисках конкретных ключевых слов. Однако я задался вопросом: а существует ли иной способ обнаружить эти продукты? Именно здесь моё исследование распространяется на DNS.
В этом материале я объясню, как картировать продукты и сервисы путём пассивного обнаружения DNS TXT-записей. Изучая эти записи, можно выявлять технологии, применяемые в инфраструктуре организации, без прямого зондирования цели. Я также рассмотрю недавний реальный случай — компрометацию цепочки поставок Salesloft — и объясню, почему эти методы обнаружения важны далеко за пределами теории.
DNS TXT-записи как поверхность обнаружения
TXT-записи нередко упускают из виду при управлении поверхностью атаки, хотя они представляют собой настоящую кладезь разведывательных данных. Организации регулярно используют их для верификации доменов, аутентификации электронной почты (SPF, DKIM, DMARC) и интеграции сторонних сервисов. Каждая такая запись — это, по сути, зацепка, способная раскрыть, на какие сервисы опирается организация.
Особенно полезным и распространённым шаблоном является синтаксис google-site-verification=. Его наличие в TXT-записях домена указывает на то, что организация интегрировала Google Workspace. С точки зрения обнаружения это ценно по ряду причин:
Не требует агрессивного сканирования — достаточно пассивных DNS-запросов.
Целевой хост никогда не узнает, что вы исследовали его инфраструктуру, поскольку вы обращаетесь к публичным DNS-серверам.
Напрямую соответствует используемым вендорам и сервисам.
Обеспечивает ранние индикаторы потенциального раскрытия при компрометации этих вендоров.
Запустите собственное сканирование
Вы можете прямо сейчас быстро выявить подверженность Salesloft Drift с помощью инструментов и фреймворков с открытым исходным кодом — Nuclei и Amass. Достаточно провести простую DNS-проверку для любого домена. Если обнаружена строка drift-domain-verification, это свидетельствует о том, что цель использует Drift в своей инфраструктуре. Вот как запустить следующие команды:
Amass
После завершения процесса перечисления необходимо извлечь данные из Open Asset Model (OAM) с помощью подкоманды assoc:
Скорректируйте даты и домен по необходимости.
После выполнения команды отобразится список связанных организаций, например:
Nuclei
Замените google.com на домен, который вы хотите проверить. Вывод будет выглядеть следующим образом:
Почему это важно?
Компрометации цепочки поставок особенно опасны, поскольку они эксплуатируют доверие. Традиционные стратегии обнаружения в подобных сценариях нередко отстают от действий злоумышленников. Анализ TXT-записей предоставляет лёгкий и масштабируемый метод построения системы раннего предупреждения. Эта техника позволяет сформировать карту раскрытия продуктов и сервисов на основе DNS-данных. Каталогизируя зависимости доменов от конкретных вендоров, защитники получают чёткое представление о том, насколько глубоко их поверхность атаки проникает в цепочку поставок.
Когда происходят такие инциденты, как в случае с Salesloft, эта карта становится разницей между немедленным реагированием и слепой подверженностью угрозе. Основное преимущество данной техники заключается в том, что компании обязаны иметь TXT-запись для верификации домена — если её нет, сторонний сервис будет отключён или уйдёт в офлайн.
Salesloft Drift: реальный контекст
Вскоре после моего выступления на DEFCON33 произошла компрометация цепочки поставок Salesloft, и это наглядно демонстрирует, что описываемый подход — не просто теоретическое упражнение. Злоумышленники воспользовались интеграцией с Drift для получения доступа к организациям, фактически обойдя традиционные средства защиты периметра.
Возможность быстро выявлять сторонние зависимости организаций — в частности, Salesloft Drift через TXT-записи — предоставляет ряд преимуществ:
Приоритизация Threat Hunting: Зная, что Drift был скомпрометирован, можно немедленно сузить область поиска подозрительной активности в своей среде.
Оценка рисков раскрытия через третьи стороны: Многие организации могут пострадать от атак на цепочку поставок; как red/blue teamer, вы можете легко составить карту подверженности этим сторонним сервисам.
Ускорение реагирования на инциденты: Вместо того чтобы ждать раскрытия информации вендором или публикаций в СМИ, можно проактивно обнаруживать использование сервисов.
Заключительные мысли
Инцидент с Salesloft напоминает нам: в нынешней среде угроз ваша безопасность определяется надёжностью самого слабого звена в цепочке вендоров. Обнаружение TXT-записей — не панацея, но весьма эффективный способ выявить зависимости.
Пока злоумышленники продолжают эксплуатировать отношения доверия, защитникам необходимы простые и масштабируемые способы понимания своих рисков. TXT-записи — один из таких способов: часто игнорируемый метод обнаружения с существенным реальным воздействием.