T1590.002: DNS

Злоумышленники могут собирать данные DNS атакуемых инфраструктур, чтобы использовать их для атак. Данные DNS могут включать сведения о зарегистрированных серверах имен, а также записи об адресации поддоменов, почтовых серверов и других узлов атакуемой организации. Записи DNS, MX, TXT и SPF также могут указать на использование сторонних облачных сервисов и SaaS-решений, таких как Microsoft 365, Google Workspace, Salesforce или Zendesk.

Злоумышленники могут собирать эти данные различными способами, включая запросы и прочие методы извлечения DNS-записей. Информация о DNS-записях жертвы также может быть найдена в интернете или других доступных источниках (например, путем поиска технической информации в общедоступных источниках). Сбор этой информации может открыть дополнительные возможности для разведки (например, поиска технической информации в общедоступных источниках, поиска на общедоступных сайтах или активного сканирования) и способствовать получению операционных ресурсов (в частности, приобретению инфраструктуры или компрометации сторонней инфраструктуры) и (или) обеспечению первоначального доступа (например, путем эксплуатации внешних служб удаленного доступа).

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

This cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should focus on minimizing the amount and sensitivity of data available to external parties.