Descripción de la Tecnica
DNS/Passive DNS es una técnica de ataque relacionada con el MITRE ATT&CK que implica la recolección de información sobre objetivos mediante el análisis de datos DNS. Los adversarios pueden utilizar registros DNS para identificar servidores, subdominios, servidores de correo y otros hostes asociados a una organización. Esta técnica permite a los atacantes obtener detalles estructurales de la red objetivo, facilitando la planificación de operaciones maliciosas.
¿Cómo Funciona?
Los atacantes pueden realizar consultas directas a servidores DNS de una organización o analizar repositorios centralizados de registros DNS (como los registrados en MITRE: T1596.001). Esta acción permite extraer información sobre la infraestructura de dominio, incluyendo nombres de servidores registrados y configuraciones de subdominios. La técnica se basa en la suposición de que los registros DNS contienen datos útiles para el cibercriminal.
Actores que la Utilizan
No hay actores específicos documentados. Esta técnica es parte del MITRE ATT&CK y no se asocia con actores conocidos en la base de datos. Sin embargo, es una práctica común entre amenazas cibernéticas avanzadas que buscan explorar redes objetivo antes de realizar ataques.
Detección
La detección de esta técnica implica monitorear consultas DNS anómalas o registros inusuales en sistemas de registro. Se pueden identificar patrones de consulta repetida a dominios no relacionados, consultas a servidores DNS desconocidos, o la presencia de subdominios maliciosos. Herramientas de análisis de tráfico DNS y sistemas de detección basados en comportamiento son esenciales.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, se recomienda: - Implementar monitoreo continuo de consultas DNS y registros. - Utilizar sistemas de detección basados en comportamiento para identificar actividades anómalas. - Actualizar regularmente las bases de datos de dominios maliciosos y subdominios. - Limitar el acceso a servidores DNS críticos y aplicar políticas de registro estrictas.