Зловмисники вбудовують шкідливе ПЗ у TXT записи DNS

Головна — News — Зловмисники вбудовують шкідливе ПЗ у TXT записи DNS

DNS: Незвичайний засіб зберігання шкідливого ПЗ

Дослідники безпеки виявили складну техніку, за допомогою якої зловмисники перетворюють всесвітньо відомий Систему доменних імен (DNS) на приховану мережу для зберігання та розповсюдження файлів. Вставляючи фрагменти шкідливого коду, закодовані у шістнадцятковому форматі, у TXT записи DNS, зловмисники можуть передавати небезпечні дані, не привертаючи уваги до себе в електронних шлюзах або веб-проксі.

Related topic

Криптозакони Республіканців можуть призвести до фінансової кризи

2025-07-15

Детальний аналіз техніки атаки

1. Перетворення бінарних даних у шістнадцятковий формат

Спочатку шкідливий бінарний файл (наприклад, відомий як Joke Screenmate) перетворюється з його рідного виконуваного формату на безперервний шістнадцятковий рядок. Шістнадцяткове кодування використовує символи 0–9 та A–F для представлення кожного байту, що дозволяє зменшити непечатні бінарні дані до звичайного тексту.

2. Розбиття на частини та вставка у записи TXT

Шістнадцятковий рядок потім ділиться на сотні 63-символьних частин (відповідно до обмежень DNS-міток). Кожна частина стає значенням окремого TXT запису під унікальними піддоменами контрольованого домену (наприклад, chunk001.whitetreecollective[.]com, chunk002.whitetreecollective[.]com тощо).

Звичайні записи TXT можуть містити до 255 байтів на рядок, а з розширеннями EDNS0, розмір UDP-пакетів може досягати 4 КБ — достатньо, щоб зберігати значні частини шкідливого бінару. Розподіляючи фрагменти між багатьма записями, зловмисники уникають великих алокацій, які можуть спровокувати перевірку DNS.

Збирання та виконання

Потрапивши до скомпрометованої мережі, невеликий завантажувач регулярно запитує DNS для кожного піддомену. Використовуючи стандартні UDP або зашифровані канали — DNS через HTTPS (DoH) та DNS через TLS (DoT) — завантажувач отримує кожен запис TXT, об’єднує фрагменти, перетворює шістнадцятковий код назад у бінарний формат і виконує корисне навантаження в пам’яті.

“Навіть розвинуті організації з внутрішніми резольверами стикаються з труднощами у відрізненні безпечних DNS-запитів від шкідливих,” зазначає Іан Кемпбелл, старший інженер з безпеки в DomainTools. “Зростання використання DoH і DoT ще більше ускладнює аналіз трафіку.”

Related topic

xAI отримала контракт на $200 млн від Пентагону після інциденту з ‘MechaHitler’

2025-07-15

Еволюція експлуатації DNS та сучасні тенденції

DNS вже давно використовується як канал управління та контролю (C2) в кампаніях, таких як DNSpionage та SilentBreak. У 2021 році дослідники відзначили, що PowerShell-скрипти хостяться в записах TXT — підхід, який тепер розширено на повні бінарні файли через шістнадцяткове кодування. Нещодавно DomainTools виявили шкідливі інструкції для AI-чат-ботів, заховані в записях TXT, з метою підриву великих мовних моделей.

Стратегії виявлення та кращі практики зменшення ризиків

Впровадження внутрішніх резольверів DNS для перевірки запитів перед шифруванням.
Використання архітектур з роздільним тунелюванням для блокування непідтверджених зовнішніх серверів DoH/DoT.

Впровадження інструментів виявлення аномалій DNS, що використовують машинне навчання та eBPF для аналізу трафіку в режимі реального часу.

Забезпечення впровадження DNSSEC та DMARC для перевірки автентичності записів та зменшення ризиків підробки.

Постійний моніторинг темпів зростання записів TXT та незвичних шаблонів піддоменів з інтеграцією SIEM.

Related topic

Reddit запроваджує верифікацію віку 18+ для користувачів з Великобританії

2025-07-14

Коментарі експертів

“DNS є життєво важливим елементом Інтернету, але парадоксально залишається одним із найслабших ланок у безпеці,” зазначає Брюс Шнайєр, технолог безпеки та автор. “Якщо шифрування поширюється, захисники повинні адаптуватися, інакше сліпі зони лише збільшуватимуться.”

Адаптація до зашифрованого DNS: виклики та можливості

Впровадження DoH та DoT основними провайдерами (Cloudflare, Google, Mozilla) шифрує DNS-запити від початку до кінця, ускладнюючи роботу традиційних інструментів глибокого аналізу пакетів. Проте використання внутрішніх резольверів разом із суворими списками дозволених для DoH-кінець, у поєднанні з поведінковою аналітикою, може відновити видимість.

Related topic

NVIDIA: Перший атака Bit-Flip на пам’ять GDDR6 графічних процесорів

2025-07-14

Перспективи на майбутнє

Оскільки зловмисники вдосконалюють хостинг файлів на основі DNS, організаціям слід інвестувати в об’єднані платформи розвідки загроз, які корелюють аномалії DNS з телеметрією кінцевих точок. Інтеграція потоків загроз на відомі шкідливі домени та автоматизація видалення записів стануть ключовими для того, щоб залишатися на крок попереду цих “DNS-орієнтованих” загроз.

Висновок

Захопивши старий протокол, призначений для розв’язання імен, зловмисники створили стійкий, зашифрований канал розподілу, який обходить багато захистів. Проактивний моніторинг у поєднанні з передовою аналітикою та внутрішніми контролями DNS є найкращим шляхом для протидії цьому новому вектору загрози.