Hunts DNS-based persistence threats like hijacking, dangling CNAMEs, wildcard abuse, and unauthorized zone changes using SecurityTrails API, passive DNS databases, and audit logs from Route53, Azure DNS, Cloudflare. Ideal for threat hunting.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
攻击者通过劫持 DNS 记录、创建未授权子域名、滥用通配符 DNS 条目或修改 NS 委派,将流量重定向至攻击者控制的基础设施,从而建立基于 DNS 的持久化。由于 DNS 变更独立于已失陷主机而存在,这些技术在凭据轮换、终端重新镜像和传统修复操作后仍然有效。检测需要被动 DNS 历史分析、区域文件审计和未授权记录修改监控。本技能涵盖使用 SecurityTrails 被动 DNS API、Route53/Azure DNS/Cloudflare 的 DNS 审计日志以及区域传输分析的狩猎方法。
Hunts DNS persistence via hijacking, dangling CNAMEs, wildcard abuse, zone mods using SecurityTrails API, passive DNS, Python, and Route53/Azure/Cloudflare audit logs.
Hunts DNS-based persistence like hijacking, dangling CNAMEs, wildcard abuse, unauthorized zones using SecurityTrails API, passive DNS, and audit logs for threat hunting.
Enumerates DNS records, attempts zone transfers, brute-forces subdomains, and maps infrastructure during authorized reconnaissance to identify attack surfaces, misconfigurations, and leaks.
Share bugs, ideas, or general feedback.
攻击者通过劫持 DNS 记录、创建未授权子域名、滥用通配符 DNS 条目或修改 NS 委派,将流量重定向至攻击者控制的基础设施,从而建立基于 DNS 的持久化。由于 DNS 变更独立于已失陷主机而存在,这些技术在凭据轮换、终端重新镜像和传统修复操作后仍然有效。检测需要被动 DNS 历史分析、区域文件审计和未授权记录修改监控。本技能涵盖使用 SecurityTrails 被动 DNS API、Route53/Azure DNS/Cloudflare 的 DNS 审计日志以及区域传输分析的狩猎方法。
导出当前 DNS 区域记录,并为所有已授权的 A、AAAA、CNAME、MX、NS 和 TXT 记录建立基线。
使用 SecurityTrails API 获取 DNS 历史记录,识别未授权变更、新子域名以及指向已停用服务的 CNAME 记录(悬空 CNAME)。
将当前记录与基线进行比对,识别未授权修改、解析所有子域名的通配符记录、NS 委派变更和 MX 记录劫持。
将 DNS 异常与威胁情报 feeds 进行关联,针对已知恶意基础设施核查解析目标,并验证记录所有权。
JSON 报告,列出 DNS 异常及其记录类型、历史变更、风险严重性,以及每个发现的修复建议。