DNS как новое хранилище данных: исследование скрытых файлов и вредоносных команд
Современные методы кибербезопасности сталкиваются с непрерывно растущими вызовами. Одно из последних исследований выявило необычную технику, при которой файлы изображений и вредоносные команды скрываются в текстовых записях DNS. Этот нетрадиционный способ хранения и передачи данных может представлять серьёзную угрозу безопасности корпоративных и пользовательских систем.
Механизм скрытого хранения данных в DNS
Изученный метод базируется на следующем принципе:
- файлы разбиваются на небольшие разделы;
- каждый раздел преобразуется в шестнадцатеричный формат;
- полученные данные записываются в записи DNS (обычно типа TXT);
- записи остаются доступными до тех пор, пока DNS-сервер не обновит или не удалит их.
Таким образом, DNS выступает в роли своеобразного «облачного» или «локального» хранилища, которое традиционно не предполагается использовать для подобных целей.
Обнаружение файлов и вредоносных программ
Исследователи опирались на отчёты, описывающие возможность встраивания файлов изображений в DNS. Для идентификации была применена методика поиска с помощью регулярных выражений, нацеленных на сигнатуры файлов в шестнадцатеричном виде в базе данных DNSDB Scout.
В результате удалось обнаружить SHA256-хэши файлов, связанных с вредоносной программой Joke Screenmate. Эта программа известна своими функциям шуток и розыгрышей:
- имитация деструктивных действий;
- отображение ложных сообщений об ошибках;
- создание помех в управлении пользователем;
- показ нежелательного контента;
- потребление системных ресурсов, что негативно сказывается на производительности.
Вредоносные команды в DNS: случай drsmitty.com
Исследование выявило, что использование DNS выходит за рамки файлах бинарных данных — в текстовых записях обнаружены вредоносные команды. В частности, была проанализирована доменная зона drsmitty.com, где в текстовой записи одного из поддоменов был найден закодированный скрипт PowerShell.
Этот скрипт выполняет роль промежуточного звена: после запуска на скомпрометированной системе он устанавливает соединение с удалённым доменом cspg.pw, который выступает как сервер управления (C2) для дальнейшей доставки полезных нагрузок (payloads).
Важно отметить, что для успешного исполнения сценария, хранящегося в DNS, требуется выполнение определённой последовательности действий на цели, что затрудняет обнаружение и противодействие атаке.
Заключение
Данное исследование подчеркивает, насколько изобретательно злоумышленники обходят традиционные механизмы защиты, используя DNS не только как протокол для разрешения имён, но и как средство хранения и передачи вредоносного кода. Это создаёт дополнительные вызовы для специалистов по кибербезопасности и требует развития новых подходов к мониторингу и анализу DNS-трафика.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Скрытое хранение файлов и вредоносные скрипты в DNS-записях".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.