A kártékony kódok írói kellően kreatívak annak érdekében, hogy céljaikat a lehető legnagyobb eséllyel érhessék el, ennek érdekében számos trükköt vetnek be a kártékony kódok elrejtésére. A bootkitekhez már hozzászokhattunk, és a processzorba rejthető kártékony kód sem egy ismeretlen történet, de amire nemrégiben sikerült fényt deríteni, rámutat: szinte semmi sincs biztonságban, annyira kreatívan tudják felhasználni a rendelkezésre álló infrastruktúrát és eszközöket. Az újonnan felfedezett lehetőség pedig nemcsak általános hackercsoportok, hanem államilag finanszírozott támadók számára is járható útnak bizonyulhat a jövőben, már amennyiben nem sikerül ellene védelmet felállítani.

A Domain Name System, azaz a DNS alapvetően arról gondoskodik, hogy a különböző weboldalakat ne IP cím alapján kelljen elérni, hanem könnyebben megjegyezhető domain nevek alapján, a kettő közötti fordítást végzi a névszerver, az átlagfelhasználók számára teljesen észrevétlenül – nagyon leegyszerűsítve. A DNS szerverek tárolnak néhány adatot az adott domainhez kapcsolódóan, például a tulajdonjoggal kapcsolatban, ezek a DNS TXT bejegyzések, amiket a jelek szerint kártékony kódrészletek elrejtésére is felhasználhatnak a kiberbűnözők. Erre úgy derült fény, hogy felröppent egy pletyka, ami szerint képeket rejtettek el a DNS bejegyzések között, ezt a DomainTools kutatói ellenőrizni szerették volna, így elkezdték megvizsgálni a DNS TXT rekordokat, bináris vagy nagy szabványos adat után kutatva. A vizsgálat eredményei alapján úgy tűnik, a DNS TXT rekordok remek lehetőséget biztosítanak a kártékony kódrészletek rejtett tárolására, a kutatók találtak is ilyen kódrészleteket.

A kutatók felfedezése szerint lehetőség van arra, hogy futtatható binárisokat hexadecimális stringekké konvertálva kódrészleteket tároljanak a DNS TXT rekordokban, ami egy érdekes és egyben igen-igen veszélyes lehetőség. További kutatásaik során most már célzottan keresték a „mágikus bájtokat”, amelyek speciális azonosítók, és a különböző futtatható fájlok kódjának fejlécében foglalnak helyet. Ezek lényegében megmutatják az adott fájl típusát, ami alapján az adott szoftver tudja, mit lehet kezdeni vele. A vizsgálat folyamán több esetben is felbukkant a .exe fájlokra utaló fejléc kód, amit több különböző aldomain DNS TXT rekordjai is tartalmaztak, ezek pedig ugyanahhoz a fő domainhez tartoztak – mindegyiknél eltérő kódot tartalmazott a DNS TXT bejegyzés. Összesen több száz olyan aldomaint találtak, amelyek a jelek szerint részt vettek ebben a különös és szokatlan, a legtöbb védelem számára teljesen rejtett malware-terjesztő módszerben.

A DomainTools szakemberei azt gyanították, a támadó egy kártékony binárist több száz hexadecimálisan kódolt töredékre bontott fel, majd ezeket a töredékeket különböző aldomainek DNS TXK rekordjaiban tárolta el. Ezeket a töredékeket aztán generatív AI segítségével össze lehet állítani, így a kártékony futtatható fájl előállhat. Ezt a kutatók meg is tették, és érdekes módon egy átverős malware állt össze belőlük, ami különböző hibaüzenetekkel és egyéb átverésekkel szórakoztatja a célba vett felhasználót, a normál rendszerfunkciókkal is interakcióba lép, de úgy igazából nem csinál károkat, csak szimplán bosszantó. A konkrét vizsgálati folyamat teljes leírása egyébként itt olvasható.

Ezzel a „vicces” malware-rel valamely csoport meg akarta mutatni, milyen lehetőségek rejlenek a DNS TXT rekordok manipulálásában, az viszont nem derült ki, pontosan mely csoport lehetett az elkövető. A kutatók persze itt még nem fejezték be a vizsgálódást, a további munka során egy kódolt PowerShell szkriptet is találtak, ami egy speciális irányító szerverhez kapcsolódik, a Covenant keretrendszer részeként, amit a kiberbűnözők előszeretettel használnak támadásaik során, ha már bejutottak az adott rendszerre. Ezen keresztül lényegében extra fájlokat és funkciókat lehet biztosítani az adott támadáshoz, ezzel is növelve annak sikerét és hatását.

A DomainTools mérnökei szerint a DNS-alapú malware-terjesztés egyre komolyabb veszélyt jelenthet, különösen azért, mert a különböző adattitkosító technológiák, mind például a HTTPS-en vagy a TLS-en keresztül működő névfeloldás egyre szélesebb körben terjednek. Az egyik kutató, Ian Campbell szerint ezzel az a probléma, hogy a titkosítás miatt lényegében nem lehet megmondani, mi az éppen elküldött kérés, azt pedig pláne nem, hogy az most normális vagy gyanús tartalmakkal rendelkezik-e. Ez alól csak azok az esetek kivételek, amikor az adott cég a maga hálózatán belül végzi a DNS feloldást.

A titkosított DNS protokollok révén a kiberbűnözők tehát hatékonyan tudnak kártékony kódokat továbbítani, amelyeket a legtöbb védelmi rendszer észre sem vesz, éppen ezért a DNS egyre inkább vonzó választás lehet majd a kiberbűnözők számára, ha rejtett módon szeretnének malware-eket terjeszteni. Az új veszélyre remélhetőleg idővel a védelmi szoftverek és technológiák fejlesztőitől is érkezik valamiféle válasz – a kutatók arra nem tértek ki, mit lehet kezdeni a helyzettel, hogyan lehetne csökkenteni a támadási felületet, de remélhetőleg előbb-utóbb erre is sikerül valamiféle megoldást találni.