跳转至

T1590-002-收集受害者网络信息-DNS

来自ATT&CK的描述

在入侵受害者之前,攻击者可能会收集受害者DNS的信息。DNS信息可能包括各种详细信息,例如注册的名称服务器以及概述目标子域,邮件服务器和其他主机的地址的记录。

攻击者可以通过不同的方式收集这些信息,例如通过DNS/Passive DNS查询或以其他方式收集详细信息。凭证信息也可能通过在线或其他可访问的数据集(例如:搜索公开技术数据库)暴露给攻击者。收集这些信息可能为如下活动提供可能性:其他形式的侦察活动(例如:搜索公开技术数据库,搜索开放网站/域,或主动扫描),建立运营资源(例如:获取基础设施或入侵基础设施),或实现初始访问(例如:外部远程服务)。

测试案例

dnsdb: 全球DNS搜索引擎

viewdns.info: 令站长十分蛋疼的DNS历史记录网站,记录了几年内的更改记录。

securitytrails.com: 庞大的DNS历史数据库,我试了下可以查出几年内网站用过的IP、机房信息等,非常可怕。

在线网站查询

  • dnsdb
  • NETCRAFT
  • viewdns
  • threatbook
  • securitytrails

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。

检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。

参考推荐

MITRE-ATT&CK-T1590-002

https://attack.mitre.org/techniques/T1590/002/

DNS历史解析.白帽与安全

https://www.kancloud.cn/noahs/src_hacker/2120650

渗透测试之信息收集DNS篇

https://blog.csdn.net/qq1124794084/article/details/78672225