概述
作为安全研究员,我的大量工作涉及发现互联网上暴露的产品和服务。在所有情况下,我都通过检查HTTP响应体和请求头,寻找特定关键词来实现这一目标。但我开始思考,是否存在另一种检测这些产品的方式?这正是我的研究延伸至DNS领域的起点。
本文将介绍如何通过被动检测DNS TXT记录来映射产品和服务。通过检查这些记录,我们无需直接探测目标,即可识别组织基础设施中使用的技术。在本文中,我还将讨论一个近期的真实案例:Salesloft供应链安全事件,以及为何这些检测方法不仅仅停留在理论层面。
DNS TXT记录作为检测面
TXT记录在攻击面管理中常被忽视,但它们是情报的金矿。组织通常将其用于域名验证、电子邮件身份验证(SPF、DKIM、DMARC)以及第三方服务集成。每条记录本质上都是一块线索,可揭示组织所依赖的服务。
一个特别有用且常见的模式是 google-site-verification= 语法。当其出现在域名的TXT记录中时,表明该组织已集成Google Workspace。从检测角度来看,这具有以下价值:
无需侵入性扫描,仅需被动DNS查询。
由于您查询的是公共DNS服务器,目标主机永远不会知道您扫描了其基础设施。
可直接映射至供应商和服务的使用情况。
当这些供应商遭遇安全事件时,能提供潜在暴露的早期预警指标。
运行您自己的扫描
您今天就可以通过开源工具和框架 — Nuclei 和 Amass — 快速检测Salesloft Drift暴露情况。使用这些工具,可以对任意域名执行简单的DNS检查。如果发现 drift-domain-verification 字符串,则表明目标在其基础设施中运行了Drift。以下是运行相关命令的方法:
Amass
完成枚举过程后,您需要使用 assoc 子命令从开放资产模型(OAM)中提取数据:
请根据需要调整日期和域名。
运行此命令后,将呈现关联组织列表,如下所示:
Nuclei
将 google.com 替换为您希望扫描的域名。输出结果将如下所示:
为什么要关注这一问题?
供应链入侵之所以特别危险,是因为它们利用了信任关系。传统检测策略在此类场景中往往落后于攻击者的行动。TXT记录分析提供了一种轻量级、可扩展的方法来构建早期预警系统。该技术通过DNS数据构建产品-服务暴露地图。通过梳理哪些域名依赖哪些供应商,防御方可以清晰了解其攻击面在供应链中的延伸范围。
当Salesloft此类安全事件发生时,这张地图决定了是即时响应还是盲目暴露。使用这项技术的主要优势在于,企业必须拥有TXT记录才能验证其域名;如果没有,第三方服务将会断开或下线。
Salesloft Drift:真实背景
在我于DEFCON33发表演讲之后不久,就发生了Salesloft供应链安全事件,这有力地说明了为何这种方法不仅仅是研究练习。攻击者利用Drift集成访问了多个组织,有效绕过了传统的边界防护控制。
如果能够快速识别组织所依赖的第三方 — 尤其是通过TXT记录发现的Salesloft Drift — 则可以在以下方面处于更有利的位置:
优先开展威胁狩猎: 知道Drift受到影响后,可以立即缩小在环境中搜寻可疑行为的范围。
评估第三方暴露风险: 许多组织可能受到供应链攻击的影响;作为红队/蓝队成员,可以轻松绘制出对这些第三方服务的暴露情况。
提升事件响应速度: 无需等待供应商披露或媒体报道,即可主动检测服务使用情况。
结语
Salesloft事件提醒我们,在当今的威胁环境中,您的安全水平取决于最薄弱的供应商环节。TXT记录检测并非万能解决方案,但它是发现依赖关系的非常有效的手段。
随着攻击者持续利用信任关系,防御方需要简单且可扩展的方式来理解自身风险。TXT记录正是提供这种方式的途径之一——这是一种常被忽视的检测方法,却具有重大的现实影响。