Згідно з новим дослідженням DomainTools, хакери все частіше використовують DNS-записи для непомітної доставки шкідливого програмного забезпечення.
Замість того, щоб покладатися на типові методи доставки, такі як електронні листи чи завантаження, зловмисники тепер приховують шкідливий код у TXT-записах DNS, що є частиною системи доменних імен, які часто ігноруються системами безпеки.
Метод включає перетворення шкідливого програмного забезпечення в шістнадцятковий код, розділення його на невеликі сегменти та зберігання кожного фрагмента в TXT-записі піддоменів у таких доменах, як whitetreecollective.com.
Щойно зловмисники отримують обмежений доступ до мережі, вони отримують ці фрагменти за допомогою звичайних на вигляд DNS-запитів, перетворюючи їх на функціональне шкідливе програмне забезпечення, не викликаючи сповіщень антивіруса чи брандмауера.
Зростаюче використання зашифрованих протоколів DNS, таких як DNS-over-HTTPS та DNS-over-TLS, ускладнює виявлення таких запитів, особливо без власних DNS-резолверів, обладнаних для глибокої перевірки.
Дослідники також зазначили, що зловмисники використовують TXT-записи DNS для шкідливого програмного забезпечення та вбудовують шкідливий текст, призначений для маніпулювання системами штучного інтелекту шляхом оперативного впровадження.
Ієн Кемпбелл з DomainTools попереджає, що навіть організації з надійними заходами безпеки мають труднощі з виявленням таких загроз на основі DNS через прихований характер трафіку.
Замість того, щоб зосереджуватися виключно на традиційних засобах захисту, організаціям рекомендується ретельно контролювати DNS- трафік, реєструвати та перевіряти запити через внутрішні резолвери, а також обмежувати доступ до DNS довіреними джерелами. Навчання команд цим новим загрозам залишається важливим для підтримки надійної кібербезпеки.
