به گزارش یولن، به تازگی پژوهشگران شرکت امنیتی DomainTools از روشی پرده برداشتهاند که در آن، بدافزارها درون رکوردهای DNS پنهان میشوند. روشی که نه تنها هوشمندانه است، بلکه بهسختی توسط سامانههای معمول ضدویروس قابل ردیابی است.
در این تهدید تازه، فایل بدافزار ابتدا به جای ارسال مستقیم، به کدهای هگزادسیمال (ترکیبی از اعداد ۰ تا ۹ و حروف A تا F) تبدیل میشود. این کدها به صدها بخش کوچک تقسیم شده و در رکوردهای TXT مربوط به زیردامنههای یک سایت مشخص ذخیره میشوند. مهاجم سپس با ارسال درخواستهای ظاهراً بیضرر DNS، این بخشها را بازیابی کرده و مجدداً به یک فایل باینری قابل اجرا تبدیل میکند.
نکته مهم این است که ترافیک DNS معمولاً توسط آنتیویروسها و فایروالها نادیده گرفته میشود، زیرا بخش اعظم تمرکز آنها روی ترافیک وب و ایمیل است. با گسترش استفاده از روشهایی مثل DNS over HTTPS (DoH) و DNS over TLS (DoT)، تحلیل ترافیک DNS حتی برای سازمانهای پیشرفته نیز دشوارتر شده است. این روشها ترافیک DNS را رمزنگاری میکنند تا فقط سرور مقصد بتواند محتوای آن را ببیند.
استفاده از رکوردهای DNS برای پنهانسازی اسکریپتهای مخرب موضوع جدیدی نیست. پیشتر، از رکوردهای TXT برای قرار دادن اسکریپتهای PowerShell استفاده شده بود. اما روش اخیر که در آن، فایل کامل بدافزار بهشکل کد هگزادسیمال در رکوردهای DNS پنهان میشود نسبتاً ناشناختهتر است و میتواند آغازی برای موج جدیدی از حملات باشد.
منبع: arstechnica
۵۸۵۸
