Злоумышленники могут собирать данные DNS атакуемых инфраструктур, чтобы использовать их для атак. Данные DNS могут включать сведения о зарегистрированных серверах имен, а также записи об адресации поддоменов, почтовых серверов и других узлов атакуемой организации. Записи DNS, MX, TXT и SPF также могут указать на использование сторонних облачных сервисов и SaaS-решений, таких как Microsoft 365, Google Workspace, Salesforce или Zendesk.

Злоумышленники могут собирать эти данные различными способами, включая запросы и прочие методы извлечения DNS-записей. Информация о DNS-записях жертвы также может быть найдена в интернете или других доступных источниках (например, путем поиска технической информации в общедоступных источниках). Сбор этой информации может открыть дополнительные возможности для разведки (например, поиска технической информации в общедоступных источниках, поиска на общедоступных сайтах или активного сканирования) и способствовать получению операционных ресурсов (в частности, приобретению инфраструктуры или компрометации сторонней инфраструктуры) и (или) обеспечению первоначального доступа (например, путем эксплуатации внешних служб удаленного доступа).