# T1596.001 - DNS/Passive DNS ## Descrição Adversários podem pesquisar dados DNS para coletar informações sobre alvos a serem usadas durante operações de targeting. Informações DNS podem incluir uma variedade de detalhes, incluindo servidores de nomes registrados, bem como registros que delineiam endereçamento para subdomínios, servidores de e-mail e outros hosts do alvo. Esta sub-técnica faz parte da [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]], compondo a fase de [[reconnaissance|Reconhecimento]] da cadeia de ataque. O DNS (Domain Name System) é a "agenda telefônica" da internet - e, por design, grande parte de suas informações é pública. Adversários exploram isso de forma sistemática. O que diferencia **DNS ativo** de **DNS Passivo**: - **DNS Ativo (DNS direto)**: O adversário envia consultas DNS diretamente aos servidores autoritativos do alvo para resolver nomes, enumerar subdomínios via transferência de zona ou força bruta. - **DNS Passivo (Passive DNS / pDNS)**: O adversário consulta repositórios históricos de resoluções DNS, acumulados por provedores de DNS resolvers ao longo do tempo. Esse dado histórico revela como a infraestrutura do alvo evoluiu - quais IPs foram usados, quando registros mudaram, quais subdomínios existiram no passado. Bancos de dados de DNS passivo são coletados por provedores como Farsight Security (DNSDB), VirusTotal, RiskIQ, SecurityTrails, e Shodan. Eles acumulam bilhões de resoluções DNS observadas em sensores distribuídos globalmente, criando um arquivo histórico de toda a infraestrutura pública de uma organização. > **Técnica pai:** [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] --- ## Como Funciona ### Tipos de Registros DNS Explorados | Tipo de Registro | Conteúdo | Uso Ofensivo | |-----------------|----------|-------------| | `A` / `AAAA` | IP do hostname (IPv4/IPv6) | Mapear servidores e serviços | | `MX` | Servidores de e-mail | Identificar provedor de e-mail, alvo para phishing | | `NS` | Nameservers autoritativos | Identificar registrar, avaliar segurança de DNS | | `TXT` | Metadados (SPF, DKIM, DMARC, verificações de domínio) | Mapear provedores de e-mail, cloud services em uso | | `CNAME` | Aliases para outros hosts | Revelar CDN, provedores cloud, serviços SaaS | | `SOA` | Informações de zona (admin, serial) | E-mail do administrador, frequência de atualizações | | `PTR` | Resolução reversa (IP → hostname) | Mapear blocos de IP de servidores | | `SRV` | Serviços específicos (SIP, XMPP, etc.) | Identificar serviços internos expostos | ### Técnicas de Enumeração DNS #### 1. Transferência de Zona (AXFR) Quando mal configurado, um servidor DNS pode responder a solicitações de transferência de zona, entregando todos os registros de um domínio de uma vez. Embora cada vez mais raro em infraestruturas bem gerenciadas, ainda é encontrado em: - Domínios `.gov.br` e `.edu.br` de organizações menores - Infraestruturas legadas não atualizadas #### 2. Enumeração por Força Bruta (Subdomain Brute-forcing) Ferramentas como `dnsx`, `amass`, `subfinder`, e `massdns` tentam resolver uma wordlist de possíveis subdomínios contra o domínio alvo. Wordlists especializadas como SecLists/DNS contêm milhões de candidatos. #### 3. Consulta a Bancos de Passive DNS Os repositórios históricos de DNS passivo permitem: - Identificar **IPs históricos** de um domínio (útil para encontrar origem real por trás de CDNs) - Descobrir **subdomínios deletados** que ainda apontam para infraestrutura ativa - Correlacionar **mudanças de infraestrutura** com eventos públicos (aquisições, ataques, reestruturações) - Identificar **subdomínios dangling** - registros que apontam para infraestrutura cloud descontinuada, suscetíveis a subdomain takeover #### 4. Análise de Registros TXT - Fingerprinting de Serviços Registros TXT revelam implicitamente os serviços que uma organização utiliza: | Registro TXT | Serviço Revelado | |-------------|-----------------| | `v=spf1 include:amazonses.com` | Amazon SES para envio de e-mail | | `google-site-verification=...` | Uso de Google Workspace | | `MS=...` | Microsoft 365 / Azure AD | | `include:_spf.salesforce.com` | Salesforce CRM | | `atlassian-domain-verification=...` | Atlassian (Jira/Confluence Cloud) | | `zoho-verification=...` | Zoho Suite | --- ## Attack Flow ```mermaid graph TB A["Identificação do Domínio Alvo<br/>(empresa.com.br, .gov.br, .org.br)"] --> B["Consulta DNS Ativa<br/>(A, MX, NS, TXT, SOA, SRV)"] A --> C["Consulta Passive DNS<br/>(DNSDB, SecurityTrails, VirusTotal)"] A --> D["Enumeração de Subdomínios<br/>(amass, subfinder, dnsx)"] B --> E["Mapa de Infraestrutura DNS<br/>(IPs, servidores, provedores)"] C --> E D --> E E --> F["Fingerprinting de Serviços<br/>(análise TXT, CNAME, MX)"] F --> G1["Scanning Ativo de Alvos<br/>Active Scanning"] F --> G2["Identificação de Subdomínio<br/>Takeover (dangling DNS)"] F --> G3["Mapeamento para Phishing<br/>Phishing for Information"] G1 --> H["Initial Access<br/>External Remote Services"] G2 --> H G3 --> H ``` --- ## Exemplos de Uso ### APT Groups - Fase de Reconhecimento Pré-Intrusão Múltiplos grupos APT documentados utilizam passive DNS como etapa padrão de reconhecimento. Relatórios da Mandiant, CrowdStrike e Microsoft documentam o uso de ferramentas como `dnsx`, consultas ao SecurityTrails e DNSDB como parte dos TTPs de grupos como [[g0096-apt41|APT41]], [[g0007-apt28|APT28]] (Fancy Bear) e [[g0034-sandworm|Sandworm]]. Um padrão comum observado: o adversário primeiro usa passive DNS para mapear o inventário histórico de subdomínios, depois usa [[t1595-active-scanning|Active Scanning]] para identificar quais ainda estão ativos e respondem a requisições HTTP/HTTPS. ### Subdomain Takeover - Ataque Facilitado por Passive DNS Passive DNS é frequentemente usado para descobrir **dangling subdomains** - registros DNS que apontam para infraestrutura cloud (AWS S3, Azure, GitHub Pages, Heroku) que foi descontinuada mas o registro DNS não foi removido. Um adversário pode: 1. Identificar via passive DNS um registro como `blog.empresa.com.br CNAME empresa.github.io` 2. Verificar que `empresa.github.io` não existe mais 3. Registrar `empresa` no GitHub Pages 4. Agora controla `blog.empresa.com.br` - pode servir phishing ou malware sob o domínio legítimo da empresa Este ataque - **subdomain takeover** - é facilitado diretamente por consultas passive DNS e afeta regularmente organizações de todos os tamanhos. ### Campanhas de Ransomware - Mapeamento Pré-Ataque Grupos de ransomware como [[lockbit|LockBit]] e [[blackcat|BlackCat]] documentadamente realizam reconhecimento DNS extensivo antes de iniciar operações. Passive DNS permite que operadores identifiquem: - Gateways VPN e portais de acesso remoto (`vpn.empresa.com.br`, `remote.empresa.com.br`) - Servidores de backup expostos (`backup.empresa.com.br`) - Sistemas de monitoramento (`nagios.empresa.com.br`, `zabbix.empresa.com.br`) Esses hosts se tornam alvos prioritários durante o ataque para garantir persistência e dificultar recuperação. ### Identificação de Origem Real por trás de CDNs Alvos que usam Cloudflare ou AWS CloudFront ocultam seus IPs reais atrás de proxies. Passive DNS histórico frequentemente revela os IPs originais (antes da adoção da CDN), permitindo que adversários ataquem diretamente o servidor de origem, contornando proteções da CDN. --- ## Detecção A detecção de consultas passive DNS é práticamente impossível pela organização afetada - os dados históricos já existem nos repositórios e as consultas não passam pela infraestrutura do alvo. A estratégia de defesa é predominantemente proativa: ### Monitoramento de Enumeração Ativa de DNS Embora passive DNS sejá imperceptível, a enumeração ativa via força bruta pode ser detectada: ```yaml title: Subdomain Enumeration via DNS Brute-force - T1596.001 status: experimental logsource: category: dns product: generic detection: selection: query_type: A src_ip|cidr: "0.0.0.0/0" timeframe: 1m condition: selection | count() by src_ip > 100 level: high tags: - attack.reconnaissance - attack.t1596.001 - attack.t1595 falsepositives: - Scanners de segurança internos (Qualys, Nessus) - Crawlers legítimos de motores de busca ``` ### Detecção de Tentativa de Transferência de Zona ```yaml title: DNS Zone Transfer Attempt - T1596.001 / AXFR status: stable logsource: category: dns product: bind detection: selection: query_type: AXFR filter_internal: src_ip|cidr: - "10.0.0.0/8" - "172.16.0.0/12" - "192.168.0.0/16" condition: selection and not filter_internal level: high tags: - attack.reconnaissance - attack.t1596.001 falsepositives: - Servidores DNS secundários legítimos em processo de sincronização ``` ### Monitoramento de Subdomain Takeover Ferramentas como **subjack**, **nuclei** (templaté takeover) e **subzy** devem ser executadas periodicamente para verificar se subdomínios da organização estão vulneráveis a takeover: | Verificação | Frequência | Ferramenta | |-------------|-----------|-----------| | Dangling CNAME para cloud providers | Semanal | subjack, subzy | | Registros DNS apontando para IPs não utilizados | Mensal | Varredura interna | | Subdomínios não documentados em passive DNS | Mensal | SecurityTrails API | | Novos subdomínios criados sem aprovação | Diário | Monitoramento CT + DNS | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Mitigação pré-compromisso - a principal defesa é reduzir a superfície de exposição DNS proativamente | | - | Desabilitar Transferência de Zona | Configurar servidores DNS autoritativos para recusar requisições AXFR de IPs não autorizados | | - | Minimização de Subdomínios Públicos | Não criar registros DNS para infraestrutura interna que não precisa ser resolvível externamente | | - | Gestão de Ciclo de Vida de Subdomínios | Remover registros DNS imediatamente quando o serviço correspondente é descontinuado - previne subdomain takeover | | - | Monitoramento contínuo de DNS | Implementar alertas para novos registros DNS criados em domínios da organização | | - | DNSSEC | Embora não previna enumeração, DNSSEC autentica respostas DNS e reduz riscos de envenenamento de cache | | - | Auditoria periódica de registros TXT | Remover registros TXT de serviços descontinuados para reduzir fingerprinting de stack tecnológico | --- ## Contexto Brasil/LATAM ### Infraestrutura DNS Brasileira O Brasil possui características únicas de DNS que o tornam especialmente interessante para adversários: - **Domínios `.gov.br`**: Gerenciados pela Rede Nacional de Ensino e Pesquisa (RNP) e pela SLTI do Ministério da Gestão. A fragmentação da gestão DNS entre centenas de órgãos resulta em muitos servidores com configurações inadequadas. - **Domínios `.edu.br`**: Gerenciados pelo NIC.br, com grande variação de maturidade de segurança entre instituições. - **Registro.br**: O NIC.br opera o domínio `.br` e pública dados WHOIS com mais detalhes que registros internacionais, incluindo e-mail e telefone de responsáveis técnicos. ### Passive DNS e Operações de Cibercrime Brasileiro O ecossistema de cibercrime brasileiro, incluindo grupos que operam trojans bancários como [[s0531-grandoreiro|Grandoreiro]], [[mekotio|Mekotio]] e [[s0455-metamorfo|Casbaneiro]], utiliza extensivamente passive DNS para: - **Identificar infraestrutura bancária**: Mapeando subdomínios de portais de internet banking para criar páginas de phishing convincentes - **Enumerar sistemas de Open Finance**: O Open Finance brasileiro (regulado pelo Banco Central) expôs APIs de dados financeiros via DNS, tornando-os alvos de reconhecimento - **Rastrear movimentação de infraestrutura**: Quando um banco muda seu provedor de CDN ou hosting, passive DNS permite rastrear o novo IP real ### CERT.br e Monitoramento Nacional O [[sources|CERT.br]] (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) mantém capacidade de monitoramento DNS nacional e pública regularmente estatísticas sobre domínios brasileiros usados em campanhas de phishing e malware. O CERT.br coordena com o NIC.br a suspensão de domínios `.br` abusivos. ### DNS como Vetor de Ataque em Infraestrutura Crítica Em 2020, o Brasil registrou ataques de DNS hijacking contra provedores de DNS de ISPs brasileiros, redirecionando usuários de portais bancários. O [[banco-central-do-brasil|Banco Central do Brasil]] emitiu alertas específicos sobre o risco de comprometimento de resolvers DNS como vetor de ataque ao sistema financeiro nacional. ### Regulatório A [[anpd|ANPD]] e o Banco Central reconhecem o monitoramento de infraestrutura DNS como componente essencial do gerenciamento de risco cibernético, conforme Resolução CMN 4.893/2021 e guias de segurança para o ecossistema de Open Finance. --- ## Referências - [MITRE ATT&CK - T1596.001](https://attack.mitre.org/techniques/T1596/001) - [Farsight Security DNSDB - Passive DNS](https://www.farsightsecurity.com/solutions/dnsdb/) - [SecurityTrails - DNS Intelligence](https://securitytrails.com) - [amass - DNS Enumeration Tool](https://github.com/owasp-amass/amass) - [CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes](https://www.cert.br) - [NIC.br - Registro.br](https://registro.br) - [Can I Take Over XYZ - Subdomain Takeover List](https://github.com/EdOverflow/can-i-take-over-xyz) - [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] - [[t1595-active-scanning|T1595 - Active Scanning]] - [[t1594-search-victim-owned-websites|T1594 - Search Victim-Owned Websites]] - [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] - [[m1056-pre-compromise|M1056 - Pre-compromise]]