Експерти компанії DomainTools виявили інноваційну методику поширення шкідливого програмного забезпечення, яка використовує DNS-записи для прихованої доставки малвару. Ця техніка дозволяє кіберзлочинцям обходити традиційні засоби захисту, маскуючи небезпечні корисні навантаження під звичайний мережевий трафік.
Принцип роботи DNS-тунелювання
Основою нової методики є використання DNS-записів типу TXT для зберігання фрагментів шкідливого коду. Процес розпочинається з перетворення виконуваного файлу з двійкового формату в шістнадцяткове представлення, що дозволяє компактно відобразити бінарні дані у вигляді текстових символів.
Після цього отримана шістнадцяткова строка поділяється на безліч дрібних фрагментів, кожен з яких розміщується в окремій TXT-записі унікального піддомену. Дослідники виявили, що в межах однієї атаки використовувались сотні піддоменів, кожен з яких містив частину шкідливого коду.
Реальні приклади застосування техніки
Як приклад, експерти DomainTools проаналізували поширення програми Joke Screenmate через домен whitetreecollective[.]com. Ця програма, хоча і носить розважальний характер, демонструє небезпечний потенціал методики, відображаючи фальшиві системні помилки та створюючи лякаючі анімації видалення файлів.
Зловмисник, який отримав доступ до захищеної мережі, може витягнути всі фрагменти за допомогою серії звичайних DNS-запитів, зібрати їх разом і відновити початковий виконуваний файл. Такий підхід робить процес доставки малвару практично непомітним для більшості систем безпеки.
Сліпі зони сучасних систем захисту
Головна проблема полягає в тому, що DNS-трафік рідко піддається детальному аналізу з боку захисних рішень. У той час як веб-трафік та електронна пошта ретельно скануються на предмет загроз, DNS-запити часто залишаються поза полем зору систем безпеки.
Ситуація ускладнюється впровадженням технологій DNS over HTTPS (DoH) та DNS over TLS (DoT), які шифрують DNS-трафік, роблячи його аналіз ще більш складним. Навіть великі організації з власними внутрішніми DNS-резолверами відчувають труднощі в розрізненні легітимних і підозрілих запитів.
Еволюція загрози
Варто зазначити, що використання DNS-записів для шкідливих цілей не є абсолютно новою технікою. Ще в 2017 році фахівці з інформаційної безпеки фіксували розміщення шкідливих PowerShell-скриптів у TXT-записах. Сучасні дослідження показують, що ця методика продовжує активно використовуватися.
Більш того, аналітики DomainTools виявили PowerShell-скрипти в TXT-записах, пов’язаних з доменом drsmitty[.]com, що підтверджує актуальність даної загрози. Особливо тривожним є факт появи в DNS-записах промпт-ін’єкцій, призначених для атак на системи штучного інтелекту та чат-боти.
Рекомендації щодо захисту
Для протидії DNS-тунелюванню організаціям слід переглянути підходи до моніторингу мережевого трафіку. Необхідно впровадити спеціалізовані рішення для аналізу DNS-запитів, здатні виявляти аномальні патерни та підозрілі домени.
Розвиток методів прихованої доставки шкідливих програм через DNS-записи вимагає від фахівців з кібербезпеки постійного вдосконалення захисних механізмів. Кіберзлочинці постійно шукають нові способи обходу традиційних засобів захисту, використовуючи для цього навіть найбазовіші мережеві протоколи. Тільки комплексний підхід до моніторингу всіх видів мережевого трафіку може забезпечити надійний захист від подібних загроз.
