Exploatarea serviciului DNS pentru a transforma malware -ul într -o amenințare cu adevărat invizibilă
WTF?! Cercetătorii de securitate și hackerii etici descoperă locuri noi și neașteptate, unde codul rău intenționat poate fi ascuns în infrastructura IT. Chiar și sistemul aparent inofensiv de nume de domeniu (DNS)-sistemul de denumire fundamentală pentru toate dispozitivele conectate la internet-poate, în teorie, să fie exploatat de cibernetici inteligenți sau atacatori sponsorizați de stat. Acest lucru subliniază o tendință din ce în ce mai mare: nicio parte a stivei digitale nu este prea banală pentru a deveni un vector pentru amenințări sofisticate.
Ascunderea ransomware -ului în interiorul unui procesor era ciudată, dar acum, atacatorii merg și mai profund și mai larg în rețele. Într -o descoperire recentă, cercetătorii de securitate au dezvăluit că o bucată de malware a fost încorporată direct în sistemul de nume de domeniu, ocolind efectiv aproape toate instrumentele de securitate avansate.
Proplicate de rapoartele anterioare ale cuiva care ascunde imagini în înregistrările DNS, cercetătorii de la DomainTools au început să cerceteze înregistrările DNS TT pentru semne de date binare sau non-standard. Înregistrările TXT, care pot stoca text arbitrar și sunt adesea folosite pentru a verifica proprietatea domeniului, s -au dovedit a fi un canal ascuns surprinzător de eficient. Echipa DT a constatat că ar putea codifica eșantioane de malware în aceste înregistrări, transformând binare executabile în șiruri hexadecimale.
Săpând mai adânc, cercetătorii au căutat „Bytes Magic” cunoscuți – identificatori folosiți în diverse anteturi de fișiere executabile. Au găsit mai multe cazuri ale unui antet familiar .exe încorporat pe diferite subdomenii aparținând aceluiași domeniu, fiecare conținând valori distincte de înregistrare txt. În total, sute de subdomenii păreau să participe la această schemă de distribuție a malware -ului ciudat și furios.
Analiștii DomainTools bănuiesc că atacatorul a rupt un dosar binar rău intenționat în sute de fragmente codificate hexadecimal, fiecare stocat într-un subdomeniu DNS diferit. Potrivit cercetătorilor, adversarul a folosit apoi un serviciu AI generativ pentru a genera rapid un script capabil să reasambleze fragmentele. Odată reconstruită, binarul s-a potrivit cu două hashes SHA-256 cunoscute ale glumelor de glumă, un malware faimos care imită comportamentul distructiv și poate interfera cu funcțiile normale ale sistemului și controlul utilizatorului.
Dar asta nu a fost totul. Folosind aceeași tehnică de investigare, echipa a descoperit, de asemenea, un script PowerShell codat încorporat în înregistrările DNS. Acest script s-a conectat la un server de comandă și control legat de cadrul Covenant, un set de instrumente legitime post-exploatare deseori reconstituit de actori amenințători. Conexiunea ar putea facilita descărcarea de sarcini utile suplimentare, ceea ce o face o componentă potențială a unui lanț de atac mai mare, mai sofisticat.
Într-o declarație de e-mail, inginerul DomainTools, Ian Campbell, a subliniat riscul din ce în ce mai mare de livrare a malware-ului bazat pe DNS, mai ales că tehnologiile de criptare precum DNS față de HTTPS și DNS peste TLS devin mai răspândite.
„Dacă nu sunteți una dintre aceste firme care vă fac propria rezoluție DNS în rețea, nu puteți spune nici măcar care este cererea, nu mai puțin dacă este normală sau suspectă”, a spus Campbell.
Utilizând aceste protocoale DNS criptate, ciberneticii pot contrabanda efectiv sarcinile utile dincolo de majoritatea sistemelor de detectare, făcând DNS un vector din ce în ce mai atractiv pentru distribuția malware furioasă.
