Техники: T1590 , T1590.001 , T1590.002 , T1590.003 , T1590.004 , T1590.005 , T1590.006
Злоумышленники могут собирать информацию о DNS жертвы, которая может быть использована при проведении атак. Информация о DNS может включать в себя различные сведения, в том числе зарегистрированные серверы имен, а также записи, определяющие адресацию поддоменов, почтовых серверов и других узлов жертвы. Записи DNS MX, TXT и SPF также могут свидетельствовать об использовании сторонних облачных и SaaS-провайдеров, таких как Office 365, G Suite, Salesforce или Zendesk.(Цит. по: Sean Metcalf Twitter DNS Records)
Злоумышленники могут собирать эту информацию различными способами, например, запрашивая или иным образом собирая сведения через DNS/Passive DNS. Информация о DNS также может быть доступна противникам через онлайн или другие доступные наборы данных (например, Search Open Technical Databases).(Цитата: DNS Dumpster)(Цитата: Circl Passive DNS) Сбор этой информации может открыть возможности для других форм разведки (например, Search Open Technical Databases, Search Open Websites/Domains, или Активное сканирование), установления оперативных ресурсов (например: Приобрести инфраструктуру или Скомпрометировать инфраструктуру), и/или начального доступа (например: Внешние удаленные службы).
Злоумышленники также могут использовать передачу зоны DNS (DNS-запрос типа AXFR) для сбора всех записей с неправильно сконфигурированного DNS-сервера.(Цитата: Trails-DNS)(Цитата: DNS-CISA)(Цитата: Alexa-dns)
https://attack.mitre.org/techniques/T1590/002
Визуализация смежных техник для T1590.002
| № | Техника |
|---|
