| ID | Name |
|---|---|
| T1590.001 | 隐蔽式DNS数据聚合 |
| T1590.002 | 社交工程驱动的被动收集 |
| T1590.003 | 云服务API伪装查询 |
隐蔽式DNS数据聚合(Covert DNS Data Aggregation)是一种通过合法DNS协议交互实现网络情报隐蔽收集的技术。攻击者通过构造特定DNS查询请求,将目标网络的基础设施信息(如子域名解析记录、邮件服务器配置)分散嵌入常规域名解析流程,利用DNS协议的无状态特性与广泛白名单优势,在获取关键数据的同时规避流量审查。该技术通常结合DNS隧道技术,将请求参数编码至查询字段,通过多级解析服务器中转实现数据回传,使防御方难以区分正常域名解析与恶意情报收集行为。
该技术的匿迹实现基于协议层合法性与行为层隐蔽性的双重设计。攻击者首先利用DNS协议作为天然隐蔽通道,将探测目标(如特定子域名、MX记录)拆解为标准化查询请求,通过合法递归解析流程获取响应数据。其次采用时序分散策略,将高价值目标的集中探测任务分解为长时间跨度的离散查询,避免触发DNS流量异常检测机制。技术实现上需解决三个关键问题:查询参数隐蔽编码(使用Base32/TXT记录混淆目标特征)、响应数据分片重组(利用多级CNAME记录实现数据分片传输)、以及解析路径动态跳变(通过Tor网络或云函数动态切换解析节点)。最终形成的攻击链具有协议合规、流量分散、特征动态化的特点,使得传统基于DNS日志分析的检测手段难以有效识别恶意意图。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon