T1596.001: DNS-записи
Злоумышленники могут искать в DNS-записях информацию о своих жертвах, чтобы использовать ее для атак. Данные DNS могут включать сведения о зарегистрированных серверах имен, а также записи об адресации поддоменов, почтовых серверов и других узлов атакуемой организации.
Злоумышленники могут искать в данных DNS полезную для организации атак информацию. Злоумышленники могут напрямую опрашивать серверы имен атакуемой организации или искать информацию в централизованных репозиториях с журналами ответов на DNS-запросы (так называемые данные Passive DNS). Также злоумышленники могут искать ошибки в конфигурации DNS или утечки DNS-записей, которые раскрывают информацию о внутренних сетях. Информация из этих источников может открыть дополнительные возможности для разведки (например, поиска на сайтах атакуемой организации или поиска на общедоступных сайтах) и способствовать получению операционных ресурсов (в частности, приобретению инфраструктуры или компрометации сторонней инфраструктуры) и (или) обеспечению первоначального доступа (например, путем эксплуатации внешних служб удаленного доступа или доверительных отношений).
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should focus on minimizing the amount and sensitivity of data available to external parties. |
---|