Зловмисники ховають шкідливе програмне забезпечення в області, що в значній мірі залишається поза досяжністю більшості систем безпеки — у записах системи доменних імен (DNS), які з’єднують доменні назви з їх відповідними числовими IP-адресами.
Ця практика дозволяє шкідливим скриптам та програмам початкового етапу завантажувати бінарні файли без потреби завантаження з підозрілих сайтів або їх приєднання до електронних листів, де вони зазвичай потрапляють у карантин антивірусного програмного забезпечення. Це пов’язано з тим, що трафік DNS-запитів часто залишається непоміченим багатьма засобами захисту. У той час як веб- та електронна пошта зазвичай підлягають ретельному контролю, DNS-трафік лишається своєрідною сліпою зоною для таких захисних систем.
Дивне і магічне місце
Дослідники з компанії DomainTools на цьому тижні повідомили, що їм вдалося виявити трюк, який використовувався для розміщення шкідливого бінарного файлу для Joke Screenmate, виду набридливого шкідливого програмного забезпечення, яке заважає нормальному і безпечному функціонуванню комп’ютера. Файл було перетворено з бінарного формату в шестнадцятковий, що є схемою кодування, яка використовує цифри від 0 до 9 та літери від A до F для компактного представлення бінарних значень.
Шестнадцяткова форма була розбита на сотні фрагментів. Кожен з цих фрагментів було заховано у запис DNS різних піддоменів домену whitetreecollective[.]com. Зокрема, фрагменти були поміщені в TXT-записи, що є частиною DNS-запису, здатною зберігати будь-який довільний текст. TXT-записи часто використовуються для підтвердження права власності на сайт під час налаштування таких сервісів, як Google Workspace.
Зловмисник, який зміг отримати доступ до захищеної мережі, міг би потім отримати кожен фрагмент, використовуючи безневинно виглядаючі DNS-запити, зібрати їх назад і знову перетворити в бінарний формат. Ця техніка дозволяє отримувати шкідливе програмне забезпечення через трафік, який може бути складно контролювати. З ухваленням зашифрованих форм IP-запитів, відомих як DOH (DNS через HTTPS) та DOT (DNS через TLS), ця проблема, ймовірно, лише посилиться.