Soluções de histórico de DNS para maior transparência e segurança cibernética na Internet

Uso Prático

• Descoberta de ativos de DNS

  Mantenha o inventário de ativos atualizado, descobrindo domínios e subdomínios conectados ou ocultos usados para aplicativos e serviços da Web específicos.

• Detecção de ameaças

  Identifique padrões incomuns de resolução de DNS que possam indicar atividade de botnet ou infraestruturas comprometidas usadas para hospedar ou distribuir malware.

• Monitoramento de atores de ameaças

  Fique atento às resoluções de DNS associadas a agentes de ameaças conhecidos e descubra padrões ou anomalias que possam indicar atividade mal-intencionada.

• Proteção da marca

  Monitore as alterações nos registros de DNS para detectar tentativas de sequestro de domínios e avaliar como os domínios associados podem afetar a reputação da marca.

• Pontuação de risco de terceiros

  Use os dados de DNS para rastrear alterações na configuração do domínio, identificar a infraestrutura conectada e detectar atividades suspeitas vinculadas a fornecedores e outros terceiros.

• Detecção de fraudes

  Identifique comportamentos fraudulentos analisando padrões de DNS, alterações na propriedade do domínio e associações anteriores com servidores mal-intencionados.

Perguntas frequentes

O que são registros DNS?

Um registro de DNS é um registro de dados armazenado no Sistema de Nomes de Domínio (DNS) que mapeia domínios para recursos específicos, como endereços IP, servidores de e-mail ou outros serviços. Um servidor DNS resolve esses registros para direcionar o tráfego da Internet e gerenciar os serviços relacionados ao domínio. Os tipos de registros comuns de DNS incluem:

• Registro A: Mapeia um domínio para um endereço IPv4.
• Registro AAAA: Mapeia um domínio para um endereço IPv6.
• Registro MX: Especifica os servidores de correio para entrega de e-mail.
• Registro NS: Lista os servidores de nomes autoritativos de um domínio.
• Registro TXT: Armazena informações baseadas em texto, geralmente usadas para verificação da propriedade do domínio (por exemplo, configurações de SPF, DKIM ou DMARC) ou outros metadados. Por exemplo, a verificação da propriedade do site para usar o Google Search Console requer a adição de um determinado registro TXT à lista de registros de host de um domínio.
• Registro CNAME: Mapeia um alias ou subdomínio para outro domínio. Por exemplo, ele pode redirecionar blog.example.com para www.example.com.
• Registro SOA (Start of Authority): Contém informações administrativas sobre o domínio, como o servidor de nomes principal, o e-mail de contato do administrador do domínio e o número da versão da zona DNS.
• Registro PTR (ponteiro): Resolve um endereço IP para um domínio, comumente usado em pesquisas de DNS reverso.

Para obter informações sobre os registros DNS atuais de um domínio, você pode usar nossa ferramenta de DNS lookup ou DNS lookup API.

Qual é o DNS history de um domínio?

O histórico de DNS de um nome de domínio é uma lista de configurações de DNS anteriores, incluindo alterações em endereços IP, servidores de nomes, servidores de e-mail e outros registros de DNS ao longo do tempo. Ele fornece informações sobre como a infraestrutura de um domínio evoluiu e pode revelar alterações de propriedade, migrações ou possível uso indevido.

Diferentemente de uma parte considerável dos dados WHOIS, os dados de DNS não são redigidos para fins de privacidade, portanto, os registros históricos de DNS podem ser bastante úteis para fins de segurança cibernética.

O Sistema de Nomes de Domínios não foi projetado para acompanhar os registros históricos, mas como eles têm muito valor, é natural que fornecedores independentes tenham começado a criar e manter bancos de dados de DNS history.

Que dados você pode obter do DNS history?

O DNS history do domínio normalmente inclui detalhes como:

• Registros A históricos: Alterações nos mapeamentos de endereços IPv4.
• Registros AAAA históricos: Alterações nos mapeamentos de endereços IPv6.
• Registros MX históricos: Alterações nas configurações do servidor de correio eletrônico.
• Registros NS históricos: Atualizações de servidores de nomes autoritativos.
• Registros históricos de TXT: Informações anteriores baseadas em texto, geralmente relacionadas à verificação ou segurança.
• Registros CNAME históricos: Alterações em aliases ou redirecionamentos para subdomínios.
• Registros históricos de SOA: Atualizações de detalhes administrativos, como o servidor de nomes primário ou a versão da zona.
• Registros PTR históricos: Mapeamentos históricos de endereços IP para nomes de domínio, usados em pesquisas de DNS reverso.
• Alterações e atualizações com registro de data e hora: Uma linha do tempo mostrando quando cada registro foi adicionado, removido ou atualizado.

Essas informações fornecem uma linha do tempo detalhada da atividade de DNS de um domínio e ajudam a descobrir padrões, alterações de infraestrutura, possíveis links para agentes mal-intencionados e muito mais.

Veja um exemplo de uso de nossa ferramenta de pesquisa de DNS histórico para example.com que extrai informações históricas de IP para domínio ou de domínio para IP:

Para que posso usar os dados DNS history?

Os dados históricos do DNS têm uma ampla gama de aplicações práticas em segurança cibernética, inteligência contra ameaças e gerenciamento de ativos. Você pode usá-los para:

• Adicione o contexto do DNS às plataformas SIEM, SOAR e TIP: Enriqueça os sistemas de segurança com inteligência de DNS para uma melhor tomada de decisões.
• Acelerar a detecção e a resposta a ameaças: Identifique alterações ou padrões incomuns de DNS associados a atividades mal-intencionadas.
• Amplie a descoberta de ativos e o gerenciamento de vulnerabilidades: Localize domínios não gerenciados ou esquecidos, subdomínios e ativos relacionados associados por meio de registros DNS.
• Identifique registros de DNS pendentes e subdomínios não seguros: Detectar configurações incorretas que podem levar à exposição ou exploração de dados.
• Expandir a coleta de informações sobre ameaças: Analise os registros históricos de DNS para descobrir links entre domínios e a infraestrutura já conhecida de agentes de ameaças.
• Monitore as alterações na infraestrutura de DNS de domínios suspeitos ou mal-intencionados: Mantenha-se informado sobre as atualizações que podem indicar novas ameaças.
• Executar análises de descoberta de serviços SaaS: Identifique serviços e plataformas vinculados a um domínio usando pistas de registros DNS e subdomínios.

Esses recursos tornam os dados históricos do DNS um recurso muito útil para melhorar a postura de segurança e obter insights mais profundos sobre a atividade do domínio e os riscos associados.

Como verificar o DNS history?

Para verificar o histórico do DNS:

• Use uma ferramenta de pesquisa de DNS histórico, como o nosso DNS Chronicle Lookup.
• Digite o domínio que você deseja investigar.
• Analise os dados históricos dos registros DNS, incluindo alterações e atualizações ao longo do tempo.

Como alternativa, você pode consultar o serviço WhoisXMLAPI DNS Database Download ou usar a DNS Chronicle API. Esses modelos de fornecimento de dados fornecem registros de DNS detalhados e com carimbo de data/hora e podem ser úteis quando você precisar automatizar solicitações de registros históricos de DNS.

Como usar o DNS history para detecção de ameaças à segurança?

O histórico do DNS pode ajudar a identificar atividades ou padrões suspeitos, como:

• Mudanças repentinas em servidores de nomes ou endereços IP que possam indicar a reutilização de um domínio para uma campanha de phishing ou malware.
• Mudanças rápidas nos registros DNS A ou AAAA - uma técnica chamada fast-flux que ajuda a evitar os métodos de detecção tradicionais, o que geralmente é um indicador de atividade mal-intencionada.
• Domínios com registros que apontam para uma infraestrutura mal-intencionada conhecida (com base em IoCs fornecidos pela inteligência contra ameaças).

Ao analisar o histórico do DNS, as equipes de segurança podem detectar e responder a possíveis ameaças de forma proativa.

Como usar o DNS history para o monitoramento de agentes de ameaças?

O DNS history pode revelar conexões entre domínios e agentes de ameaças:

• Rastreamento do uso repetido de endereços IP ou servidores de nomes específicos e outros padrões nas alterações de registros de DNS vinculados a invasores conhecidos.
• Revelar infraestrutura adicional de agentes de ameaças por meio de padrões de DNS, bem como aprender novos detalhes sobre seus métodos e atividades.
• Monitorar a migração da infraestrutura dos agentes de ameaças e identificar proativamente a infraestrutura que ainda não foi utilizada.

Isso ajuda os provedores de segurança cibernética a manter o controle sobre as táticas e a infraestrutura em evolução dos agentes de ameaças.

Como usar o DNS history para detecção de fraudes?

O DNS history auxilia na detecção de fraudes ao revelar:

• Registre alterações que se alinham com atividades de phishing ou fraude, como a troca rápida de endereços IP (registros A e AAAA) ou servidores de nomes.
• Uso de registros DNS descartáveis ou suspeitos com valores TTL baixos ou falta de registros MX legítimos que normalmente deveriam estar presentes.
• Dados históricos que vinculam domínios fraudulentos a redes mal-intencionadas conhecidas, como servidores de nomes comuns, endereços IP e registradores.

Essas percepções ajudam os investigadores a rastrear e mitigar esquemas fraudulentos.

Como usar o DNS history para a descoberta de ativos?

O DNS history fornece uma visão abrangente da atividade do domínio, que pode:

• Identifique domínios ou subdomínios vinculados à sua organização que possam representar riscos se não forem monitorados ou usados maliciosamente por terceiros após a expiração ou transferência.
• Destaque ativos digitais esquecidos ou não monitorados, como subdomínios antigos ou domínios de backup que ainda podem estar acessíveis ao público e podem servir como pontos de entrada para invasores se não forem protegidos adequadamente.
• Descubra problemas de DNS, como registros de DNS mal configurados, que podem expor dados confidenciais, como serviços internos, endereços IP confidenciais ou recursos de nuvem.

Ao aproveitar o histórico do DNS, as organizações podem melhorar a visibilidade e a segurança de seus ativos digitais.

Como usar o DNS history para proteção da marca?

O DNS history oferece suporte à proteção da marca, permitindo que você detecte:

• Domínios de cybersquatting que se fazem passar por sua marca e que têm alterações suspeitas de IP ou uso repetido de servidores de nomes vinculados a campanhas de phishing. Essas alterações podem indicar intenção maliciosa dos proprietários do domínio.
• Tráfego potencialmente mal-intencionado que pode sinalizar tentativas de desfiguração do site. Os firewalls de aplicativos de sites (WAFs) podem bloquear esse tráfego de endereços IP sabidamente mal-intencionados que estão solicitando acesso ao seu site.
• Subdomínios suspeitos vinculados à sua própria infraestrutura que podem sinalizar a tomada de controle do subdomínio.

Recomendamos o uso do histórico do DNS juntamente com feeds preditivos de inteligência contra ameaças para obter melhores resultados e correlação quando se trata de esforços de proteção da marca. Leia nossa publicação no blog para saber mais sobre o uso do histórico do DNS na prevenção de ataques à marca.