hunting-for-dns-based-persistence
使用被动 DNS 数据库、SecurityTrails API 和 DNS 审计日志分析,狩猎 DNS 劫持、悬空 CNAME 记录、通配符 DNS 滥用和未授权区域修改等 DNS 持久化机制。
Best use case
hunting-for-dns-based-persistence is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
使用被动 DNS 数据库、SecurityTrails API 和 DNS 审计日志分析,狩猎 DNS 劫持、悬空 CNAME 记录、通配符 DNS 滥用和未授权区域修改等 DNS 持久化机制。
Teams using hunting-for-dns-based-persistence should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/hunting-for-dns-based-persistence/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How hunting-for-dns-based-persistence Compares
| Feature / Agent | hunting-for-dns-based-persistence | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
使用被动 DNS 数据库、SecurityTrails API 和 DNS 审计日志分析,狩猎 DNS 劫持、悬空 CNAME 记录、通配符 DNS 滥用和未授权区域修改等 DNS 持久化机制。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 狩猎基于 DNS 的持久化 ## 概述 攻击者通过劫持 DNS 记录、创建未授权子域名、滥用通配符 DNS 条目或修改 NS 委派,将流量重定向至攻击者控制的基础设施,从而建立基于 DNS 的持久化。由于 DNS 变更独立于已失陷主机而存在,这些技术在凭据轮换、终端重新镜像和传统修复操作后仍然有效。检测需要被动 DNS 历史分析、区域文件审计和未授权记录修改监控。本技能涵盖使用 SecurityTrails 被动 DNS API、Route53/Azure DNS/Cloudflare 的 DNS 审计日志以及区域传输分析的狩猎方法。 ## 前置条件 - SecurityTrails API 密钥(免费版每月提供 50 次查询) - 访问 DNS 提供商审计日志(Route53、Azure DNS、Cloudflare 或本地 DNS) - Python 3.9+ 及 requests 库 - 内部区域的 DNS 区域文件访问权限或 AXFR 能力 - 用于比较的 DNS 历史基线 ## 步骤 ### 步骤 1:建立 DNS 记录基线 导出当前 DNS 区域记录,并为所有已授权的 A、AAAA、CNAME、MX、NS 和 TXT 记录建立基线。 ### 步骤 2:查询被动 DNS 历史 使用 SecurityTrails API 获取 DNS 历史记录,识别未授权变更、新子域名以及指向已停用服务的 CNAME 记录(悬空 CNAME)。 ### 步骤 3:检测异常 将当前记录与基线进行比对,识别未授权修改、解析所有子域名的通配符记录、NS 委派变更和 MX 记录劫持。 ### 步骤 4:调查发现 将 DNS 异常与威胁情报 feeds 进行关联,针对已知恶意基础设施核查解析目标,并验证记录所有权。 ## 预期输出 JSON 报告,列出 DNS 异常及其记录类型、历史变更、风险严重性,以及每个发现的修复建议。
Related Skills
performing-threat-hunting-with-yara-rules
使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。
performing-threat-hunting-with-elastic-siem
使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。
performing-malware-persistence-investigation
系统性地调查 Windows 和 Linux 系统上的所有持久化机制,以识别恶意软件如何在重启后存活并维持访问。
implementing-deception-based-detection-with-canarytoken
通过 Thinkst Canary API 部署和监控金丝雀令牌,使用 Web Bug 令牌、DNS 令牌、文档令牌和 AWS 密钥令牌实现基于欺骗的入侵检测。
hunting-living-off-the-land-binaries
检测 Windows 事件日志和 Sysmon 遥测数据中对离地攻击(Living Off The Land Binaries,LOLBAS)的滥用, 包括 certutil、wmic、mshta、regsvr32 和 rundll32 等工具。 通过将进程创建事件与 LOLBAS 项目数据库交叉比对来构建检测规则。 适用于针对无文件攻击技术的威胁狩猎或构建 SIEM 检测规则的场景。
hunting-for-webshells-in-web-servers
通过扫描高熵值文件、可疑的 PHP/JSP/ASP 模式(eval、base64_decode、system、passthru)、 Web 根目录中近期修改的文件以及异常文件大小,检测植入 Web 服务器的 Webshell(网页后门)。 使用香农熵(Shannon entropy)计算标记混淆载荷,并通过正则表达式模式匹配已知 Webshell 特征。
hunting-for-webshell-activity
通过分析 Web 目录中的文件创建行为、Web 服务器异常进程派生以及异常 HTTP 模式,狩猎面向互联网服务器上的 Webshell 部署。
hunting-for-unusual-service-installations
通过解析系统事件日志中的事件 ID 7045、分析服务二进制路径并识别持久化机制指标,检测可疑 Windows 服务安装(MITRE ATT&CK T1543.003)。
hunting-for-unusual-network-connections
通过分析出站流量模式、稀有目标地址、非标准端口和终端异常连接频率,狩猎异常网络连接。
hunting-for-supply-chain-compromise
狩猎供应链入侵指标,包括木马化软件更新、受损依赖项、未授权代码修改和被篡改的构建产物。
hunting-for-startup-folder-persistence
通过监控 Windows 启动目录中的可疑文件创建、分析 autoruns 条目以及使用 Python watchdog 进行实时文件系统监控,检测 T1547.001 启动文件夹持久化。
hunting-for-spearphishing-indicators
跨电子邮件日志、终端遥测和网络数据狩猎鱼叉式网络钓鱼活动指标,检测定向邮件攻击。