Специалисты по кибербезопасности из компании DomainTools выявили инновационную методику распространения вредоносного программного обеспечения, которая использует DNS-записи для скрытой доставки малвари. Данная техника позволяет злоумышленникам обходить традиционные средства защиты, маскируя вредоносные полезные нагрузки под обычный сетевой трафик.
Механизм работы DNS-туннелирования
Основой новой методики является использование DNS-записей типа TXT для хранения фрагментов вредоносного кода. Процесс начинается с преобразования исполняемого файла из двоичного формата в шестнадцатеричное представление, что позволяет компактно представить бинарные данные в виде текстовых символов.
Затем полученная шестнадцатеричная строка разделяется на множество небольших фрагментов, каждый из которых размещается в отдельной TXT-записи уникального поддомена. Исследователи обнаружили, что в рамках одной атаки использовались сотни поддоменов, каждый из которых содержал часть вредоносного кода.
Практическое применение техники
В качестве примера эксперты DomainTools проанализировали распространение программы Joke Screenmate через домен whitetreecollective[.]com. Эта программа, хотя и носит развлекательный характер, демонстрирует опасный потенциал методики, отображая ложные системные ошибки и создавая пугающие анимации удаления файлов.
Злоумышленник, получивший доступ к защищенной сети, может извлечь все фрагменты с помощью серии обычных DNS-запросов, собрать их воедино и восстановить исходный исполняемый файл. Такой подход делает процесс доставки малвари практически незаметным для большинства систем безопасности.
Слепые зоны современных систем защиты
Главная проблема заключается в том, что DNS-трафик редко подвергается детальному анализу со стороны защитных решений. В то время как веб-трафик и электронная почта тщательно сканируются на предмет угроз, DNS-запросы часто остаются вне поля зрения систем безопасности.
Ситуация усугубляется внедрением технологий DNS over HTTPS (DoH) и DNS over TLS (DoT), которые шифруют DNS-трафик, делая его анализ еще более сложным. Даже крупные организации с собственными внутренними DNS-резолверами испытывают трудности в различении легитимных и подозрительных запросов.
Эволюция угрозы
Стоит отметить, что использование DNS-записей для вредоносных целей не является абсолютно новой техникой. Еще в 2017 году специалисты по информационной безопасности фиксировали размещение вредоносных PowerShell-скриптов в TXT-записях. Современные исследования показывают, что эта методика продолжает активно использоваться.
Более того, аналитики DomainTools обнаружили PowerShell-скрипты в TXT-записях, связанных с доменом drsmitty[.]com, что подтверждает актуальность данной угрозы. Особенно тревожным является факт появления в DNS-записях промпт-инъекций, предназначенных для атак на системы искусственного интеллекта и чат-боты.
Рекомендации по защите
Для противодействия DNS-туннелированию организациям следует пересмотреть подходы к мониторингу сетевого трафика. Необходимо внедрить специализированные решения для анализа DNS-запросов, способные выявлять аномальные паттерны и подозрительные домены.
Развитие методов скрытой доставки вредоносных программ через DNS-записи требует от специалистов по кибербезопасности постоянного совершенствования защитных механизмов. Важно помнить, что злоумышленники постоянно ищут новые способы обхода традиционных средств защиты, используя для этого даже самые базовые сетевые протоколы. Только комплексный подход к мониторингу всех видов сетевого трафика может обеспечить надежную защиту от подобных угроз.
