В DNS-записях обнаружен вредоносный код

Компания DomainTools сообщила о новом способе внедрения вредоносного кода в записи системы доменных имен (DNS), что добавляет ещё одну проблему к уже существующим сетевым сложностям.

Для тех, кто не в курсе: DNS — это система, которая преобразует удобные для человека доменные имена (например, «tomshardware.com») в IP-адреса, понятные компьютерам. Без DNS нам пришлось бы вручную вводить числовые адреса сайтов, которые к тому же могут меняться со временем. Причина — ограниченность IPv4 и неполная поддержка IPv6.

Процесс работы DNS выглядит так: сайт указывает в своих записях IP-адрес, браузер запрашивает эту информацию у DNS-провайдера, и, если всё проходит успешно, пользователь попадает на нужный ресурс. Однако повсеместное использование DNS сделало его привлекательной мишенью для злоумышленников.

Первым шагом к злоупотреблению DNS стало исследование Бена Картрайта-Кокса, который предложил использовать DNS как файловую систему. Хотя изначально предполагалось хранить только текст, в июне Cyber Security News сообщил, что хакеры начали скрывать изображения в DNS-записях. Это побудило DomainTools начать поиск «магических байтов» (специальных меток, определяющих тип файла) в TXT-записях DNS. И они действительно нашли вредоносный код!

Обычно тип файла определяется по его расширению (.mp3, .txt и т.д.), но на самом деле программы ориентируются на внутренние «магические байты». Именно их наличие в DNS-записях и обнаружила DomainTools.

Компания выяснила, что в 2021-2022 годах злоумышленники использовали TXT-записи DNS для хранения и распространения вредоносного ПО типа Joke/ScreenMate, а также компонентов для Covenant C2. Это «программы-шутки», которые могут замедлять работу системы, показывать навязчивые анимации, шутки или ложные сообщения об ошибках.

Теперь, когда стало ясно, насколько легко можно скрывать в DNS не только текст, но и вредоносный код, есть опасения, что подобные атаки участятся.

Источник: Tomshardware.com