DNS passivo
O que é DNS passivo?
DNS passivoBase de dados historica de resolucoes DNS observadas que permite consultar para que IPs um dominio apontou e que dominios partilharam um IP ao longo do tempo.
O DNS passivo (pDNS) e construido por sensores em resolvers recursivos que registam respostas DNS bem-sucedidas sem consultar servidores autoritativos. Conjuntos de dados de fornecedores como Farsight DNSDB, VirusTotal ou SecurityTrails permitem pivotar de um dominio para IPs historicos, dominios vizinhos, servidores de nomes e marcas temporais de primeira e ultima observacao. E um recurso central para threat hunting, mapeamento de infraestrutura maliciosa, takedowns e seguimento de algoritmos de geracao de dominios. Como o pDNS apenas regista o que foi realmente consultado, complementa WHOIS, transparencia de certificados e scan ativo, sem ser intrusivo para os dominios observados.
● Exemplos
- 01
Pivotar de um dominio C2 suspeito para outros historicamente hospedados no mesmo IP via DNSDB.
- 02
Confirmar que um dominio de phishing resolveu pela primeira vez 24 horas antes de a campanha iniciar.
● Perguntas frequentes
O que é DNS passivo?
Base de dados historica de resolucoes DNS observadas que permite consultar para que IPs um dominio apontou e que dominios partilharam um IP ao longo do tempo. Pertence à categoria Defesa e operações da cibersegurança.
O que significa DNS passivo?
Base de dados historica de resolucoes DNS observadas que permite consultar para que IPs um dominio apontou e que dominios partilharam um IP ao longo do tempo.
Como funciona DNS passivo?
O DNS passivo (pDNS) e construido por sensores em resolvers recursivos que registam respostas DNS bem-sucedidas sem consultar servidores autoritativos. Conjuntos de dados de fornecedores como Farsight DNSDB, VirusTotal ou SecurityTrails permitem pivotar de um dominio para IPs historicos, dominios vizinhos, servidores de nomes e marcas temporais de primeira e ultima observacao. E um recurso central para threat hunting, mapeamento de infraestrutura maliciosa, takedowns e seguimento de algoritmos de geracao de dominios. Como o pDNS apenas regista o que foi realmente consultado, complementa WHOIS, transparencia de certificados e scan ativo, sem ser intrusivo para os dominios observados.
Como se defender contra DNS passivo?
As defesas contra DNS passivo costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para DNS passivo?
Nomes alternativos comuns: pDNS, Dados de observacao DNS.
● Termos relacionados
- defense-ops№ 1236
Consulta WHOIS
Consulta a base WHOIS ou RDAP que devolve os dados de registo de um dominio ou IP, incluindo registrar, registrante, datas e servidores de nomes.
- defense-ops№ 159
Transparencia de certificados
Ecossistema de logs publicos append-only de certificados TLS, definidos nas RFC 6962 e 9162, que permite auditar que certificados existem para qualquer dominio.
- defense-ops№ 1147
Caça a Ameaças
Busca proativa e orientada por hipóteses na telemetria para encontrar ameaças que escaparam das detecções existentes.
- attacks№ 348
Algoritmo de geracao de dominios (DGA)
Algoritmo usado por malware para gerar deterministicamente grandes quantidades de nomes de dominio candidatos para que hosts infetados encontrem o seu servidor C2.
- defense-ops№ 266
Inteligência de Ameaças Cibernéticas (CTI)
Conhecimento baseado em evidências sobre adversários, suas motivações e métodos, utilizado para informar decisões defensivas e priorizar controles.