Cybersicherheitsforscher von DomainTools haben eine raffinierte neue Angriffsmethode identifiziert, die DNS-Records zur verdeckten Malware-Übertragung nutzt. Diese innovative Technik ermöglicht es Angreifern, traditionelle Sicherheitsmaßnahmen zu umgehen, indem sie bösartige Payloads als gewöhnlichen Netzwerkverkehr tarnen.
Funktionsweise des DNS-Tunneling-Angriffs
Die Angriffsmethode basiert auf der Verwendung von DNS-TXT-Records zur Speicherung von Malware-Fragmenten. Der Prozess beginnt mit der Konvertierung einer ausführbaren Datei vom binären Format in eine hexadezimale Darstellung, wodurch sich Binärdaten kompakt als Textzeichen repräsentieren lassen.
Anschließend wird die hexadezimale Zeichenkette in zahlreiche kleine Fragmente aufgeteilt, wobei jedes Fragment in einem separaten TXT-Record einer eindeutigen Subdomain gespeichert wird. Die Sicherheitsexperten entdeckten, dass bei einem einzigen Angriff hunderte von Subdomains verwendet wurden, die jeweils einen Teil des schädlichen Codes enthielten.
Praktische Umsetzung der Angriffstechnik
Als Beispiel analysierten die DomainTools-Experten die Verteilung der Joke Screenmate-Software über die Domain whitetreecollective[.]com. Obwohl dieses Programm Unterhaltungscharakter hat, demonstriert es das gefährliche Potenzial der Methode durch die Anzeige falscher Systemfehler und beunruhigender Animationen von Dateilöschungen.
Ein Angreifer, der Zugang zu einem geschützten Netzwerk erhalten hat, kann alle Fragmente durch eine Serie gewöhnlicher DNS-Abfragen extrahieren, sie zusammenfügen und die ursprüngliche ausführbare Datei wiederherstellen. Dieser Ansatz macht den Malware-Übertragungsprozess für die meisten Sicherheitssysteme praktisch unsichtbar.
Schwachstellen moderner Sicherheitssysteme
Das Hauptproblem liegt darin, dass DNS-Traffic selten einer detaillierten Analyse durch Sicherheitslösungen unterzogen wird. Während Web-Traffic und E-Mails sorgfältig auf Bedrohungen gescannt werden, bleiben DNS-Anfragen oft außerhalb des Sichtfelds der Sicherheitssysteme.
Die Situation wird durch die Einführung von DNS over HTTPS (DoH) und DNS over TLS (DoT) verschärft, die den DNS-Traffic verschlüsseln und dessen Analyse noch komplexer machen. Selbst große Organisationen mit eigenen internen DNS-Resolvern haben Schwierigkeiten, zwischen legitimen und verdächtigen Anfragen zu unterscheiden.
Entwicklung der Bedrohungslandschaft
Die Nutzung von DNS-Records für bösartige Zwecke ist keine völlig neue Technik. Bereits 2017 dokumentierten Informationssicherheitsexperten die Platzierung schädlicher PowerShell-Skripte in TXT-Records. Aktuelle Forschungen zeigen, dass diese Methodik weiterhin aktiv eingesetzt wird.
Darüber hinaus entdeckten DomainTools-Analysten PowerShell-Skripte in TXT-Records, die mit der Domain drsmitty[.]com verbunden sind, was die Relevanz dieser Bedrohung bestätigt. Besonders beunruhigend ist das Auftreten von Prompt-Injections in DNS-Records, die für Angriffe auf KI-Systeme und Chatbots entwickelt wurden.
Schutzmaßnahmen gegen DNS-Tunneling
Zur Bekämpfung von DNS-Tunneling sollten Organisationen ihre Ansätze zur Netzwerkverkehrsüberwachung überdenken. Es ist notwendig, spezialisierte Lösungen zur DNS-Abfrage-Analyse zu implementieren, die anomale Muster und verdächtige Domains erkennen können.
Die Entwicklung verdeckter Malware-Verteilungsmethoden über DNS-Records erfordert von Cybersicherheitsexperten eine kontinuierliche Verbesserung der Schutzmaßnahmen. Angreifer suchen ständig nach neuen Wegen, traditionelle Sicherheitslösungen zu umgehen, und nutzen dabei selbst grundlegende Netzwerkprotokolle. Nur ein umfassender Ansatz zur Überwachung aller Arten von Netzwerkverkehr kann zuverlässigen Schutz vor solchen Bedrohungen gewährleisten.
