Современные киберпреступники нашли новый способ обхода традиционных систем защиты, скрывая вредоносное ПО прямо в DNS-записях. Этот метод позволяет злоумышленникам превращать систему доменных имен (DNS) в нестандартное хранилище данных, избегая обнаружения классическими антивирусными решениями. Исследования, проведенные с использованием платформы DNSDB Scout, показали, что злоумышленники активно используют TXT-записи DNS для хранения фрагментов зараженных файлов, которые затем собираются в полноценное вредоносное ПО на устройстве жертвы.
Описание
Уникальность этой техники заключается в том, что DNS изначально не предназначен для хранения больших объемов данных. Однако злоумышленники нашли способ обойти это ограничение, разбивая вредоносные файлы на шестнадцатеричные фрагменты и распределяя их по множеству поддоменов. В ходе анализа записей за 2021-2022 годы исследователи обнаружили, что хакеры используют TXT-записи для хранения заголовков исполняемых файлов, которые затем восстанавливаются в единое целое.
Один из самых показательных случаев связан с доменом *.felix.stf.whitetreecollective[.]com, в котором сотни поддоменов содержали последовательно пронумерованные фрагменты вредоносного кода. Собрав эти части воедино, специалисты получили два исполняемых файла с хешами SHA256: 7ff0ecf2953b8662ede1577e330a514f09992c18aa3c14ed77cf2ffc115b0866 и e7b22ba761a7f853b63933ffe517cc61596710dbdee992a429ac1bc8d04186a1. Оба файла оказались версиями вредоносной программы Joke Screenmate, способной имитировать разрушительные действия, блокировать управление компьютером и выводить назойливую рекламу.
Но на этом исследование не закончилось. В ходе дальнейшего анализа эксперты обнаружили еще более опасную схему: в TXT-записях домена drsmitty[.]com хранились закодированные PowerShell-команды, которые автоматически связывались с сервером управления и контроля (C2) Covenant через домен cspg[.]pw. Этот сервер использовался для загрузки дополнительных вредоносных модулей. Интересно, что активность данного сервера прослеживается еще с 2017 года, что говорит о долгосрочном использовании данного метода атаки.
Проблема усугубляется тем, что многие организации не уделяют должного внимания мониторингу DNS-трафика, сосредотачиваясь на веб- и почтовой безопасности. Между тем, исследования показывают, что 90% вредоносных программ так или иначе задействуют DNS в своей атаке, а 95% используют его для связи с серверами управления.
Особую сложность для обнаружения представляют зашифрованные DNS-протоколы, такие как DNS over HTTPS (DoH) и DNS over TLS (DoT). Хотя они разработаны для защиты конфиденциальности пользователей, злоумышленники активно используют их для маскировки вредоносной активности.
Эксперты в области кибербезопасности настаивают на том, что компании должны пересмотреть подход к защите DNS, внедряя специализированные системы мониторинга и фильтрации запросов. Ожидается, что в ближайшие годы атаки через DNS будут только набирать обороты, а значит, игнорирование этой угрозы может привести к серьезным последствиям.
Обнаружение подобных методов говорит о том, что хакеры постоянно ищут новые уязвимости в инфраструктуре интернета. И если раньше DNS рассматривался просто как вспомогательный сервис, то теперь он превратился в важный рубеж защиты, требующий серьезного внимания со стороны ИБ-специалистов. Без должного контроля DNS может стать не просто слепым пятном, а удобной лазейкой для киберпреступников.
Индикаторы компрометации
Domains
- cspg.pw
- drsmitty.com
- felix.stf.whitetreecollective.com
MD5
- 0e4baee67e1dce71c1a334e22e50380e
SHA1
- 6eb1cb1d94a00daf1fb91218b050fdcba8436c03
SHA256
- 7ff0ecf2953b8662ede1577e330a514f09992c18aa3c14ed77cf2ffc115b0866
- e7b22ba761a7f853b63933ffe517cc61596710dbdee992a429ac1bc8d04186a1
