A DNS -szolgáltatás kiaknázása a rosszindulatú programok valóban láthatatlan fenyegetésgé alakításához
WTF?! A biztonsági kutatók és az etikus hackerek új és váratlan helyeket fedeznek fel, ahol a rosszindulatú kódok rejthetők az informatikai infrastruktúrában. Még a látszólag ártalmatlan domain névrendszert (DNS)-az összes internethez csatlakoztatott eszköz alapvető elnevezési rendszerét-elméletileg okos számítógépes bűnözők vagy állami támogatott támadók használhatók ki. Ez aláhúzza a növekvő tendenciát: a digitális verem egyetlen része sem túl hétköznapi ahhoz, hogy a kifinomult fenyegetések vektorává váljon.
A ransomware elrejtése a CPU -ban furcsa volt, de most a támadók még mélyebben és szélesebb körben haladnak a hálózatokon. Egy nemrégiben felfedezett felfedezés során a biztonsági kutatók kiderült, hogy egy darab rosszindulatú programot közvetlenül beágyaztak a domain névrendszerbe, hatékonyan megkerülve szinte az összes fejlett biztonsági eszközt.
A Domaintools kutatói a Domaintools kutatói a DNS-nyilvántartásokban a képeket elrejtették a korábbi jelentésekről, amelyek a DNS TT Records súrolását kezdték el bináris vagy nem szabványos adatok jeleire. A TXT Records, amely önkényes szöveget tárolhat és gyakran használja a domain tulajdonjogának ellenőrzésére, meglepően hatékony rejtett csatornának bizonyult. A DT csapata úgy találta, hogy a malware mintáit be tudják kódolni ezekbe a nyilvántartásokba azáltal, hogy a végrehajtható bináris fájlokat hexadecimális húrokká alakítják.
A mélyebb ásáskor a kutatók ismert „varázslatos bájtot” keresték – azonosítókat, amelyeket a különféle végrehajtható fájlfejlécekben használtak. Több példányt találtak egy ismerős .exe fejlécből, amely az azonos tartományhoz tartozó különböző aldomainekbe ágyazott, mindegyik különálló TXT -rekordértékeket tartalmaz. Összességében úgy tűnt, hogy az aldomainek százai vesznek részt ebben a furcsa és lopakodó malware elosztási rendszerben.
A Domaintools elemzői azt gyanítják, hogy a támadó egy rosszindulatú bináris fájlt hexadecimális kódolású fragmensek százaiba bontott, amelyek mindegyike egy másik DNS aldomainben tárolt. A kutatók szerint az ellenfél ezután egy generatív AI -szolgáltatást alkalmazott egy olyan szkript gyors generálására, amely képes a fragmentumok összeszerelésére. A rekonstruálás után a bináris két ismert SHA-256 Joke Screenmate hash-ot, egy tréfa rosszindulatú programot, amely utánozza a pusztító viselkedést, és zavarhatja a normál rendszerfunkciókat és a felhasználói vezérlést.
De ez nem volt minden. Ugyanazt a nyomozási technikát alkalmazva a csapat felfedezte a DNS Recordsba ágyazott kódolt PowerShell szkriptet is. Ez a szkript a Covenant Framework-hez kapcsolódó parancs- és vezérlő szerverhez kapcsolódik, amely egy legitim, a kiaknázás utáni eszközkészlet, amelyet a fenyegetés szereplői gyakran újratelepítenek. A kapcsolat megkönnyítheti a további hasznos teher letöltését, így ez egy nagyobb, kifinomultabb támadási lánc potenciális alkotóelemévé válhat.
Az e-mail nyilatkozatban, a Domaintools mérnöke, Ian Campbell hangsúlyozta a DNS-alapú rosszindulatú programok szállításának növekvő kockázatát, különösen mivel a titkosítási technológiák, mint például a DNS a HTTPS-en és a DNS-en keresztül, a TLS-en átterjedtebbé válnak.
„Hacsak nem vagy azoknak a cégeknek, amelyek a saját hálózaton belüli DNS-megoldást végeznek, akkor még azt sem tudod megmondani, mi a kérés, nem kevésbé, akár normális, akár gyanús”-mondta Campbell.
Ezeknek a titkosított DNS -protokolloknak a kihasználásával a számítógépes bűnözők hatékonyan csempészhetik a hasznos terheléseket a legtöbb észlelési rendszer mellett, így a DNS -t egyre vonzóbb vektorgá teszik a lopakodó rosszindulatú programok eloszlásához.