Не так давно стало известно, что компания Google внесла в черные списки целые группы субдоменов, например, домены co.cc, которые широко используются для размещения вредоносных сайтов. Примерно в это же время я начал изучать новые способы выявления доменов, связанных с вредоносным контентом, с помощью анализа данных DNS.
В процессе исследования я просто посылал AXFR-запросы DNS-серверам доменов, которые выглядели подозрительно, но я быстро обнаружил, что слабую конфигурацию серверов имен имеют не только домены, используемые для размещения фишинговых сайтов. Многие сайты государственных органов и серверы имен доменов первого уровня поддерживают AXFR-запросы. Это само по себе не является уязвимостью, но информация, получаемая от серверов имен в ответ на такие запросы, может быть очень ценной для злоумышленников.
AXFR — опкод для переноса зоны DNS (DNS zone transfer). Это тип DNS-запросов, позволяющий вам как внешнему субъекту получить все данные DNS, относящиеся к данному домену. Такие запросы используют администраторы для репликации баз данных DNS между DNS-серверами. AXFR-запросы также позволяют злоумышленникам получить все DNS-данные, относящиеся к определенному домену.
Последнее время целевые атаки и хактивизм стали очень актуальными темами. Это создало определенное давление на органы государственной власти, общественные организации и многие крупные компании. Мы видим, что в компаниях обеспечению безопасности стали придавать большее значение, но создается впечатление, что в основном внимание уделяют новым и технически сложным уязвимостям, в то время как про старые и простые не вспоминают.
