С ростом киберугроз злоумышленники постоянно ищут новые способы обходить традиционные методы обнаружения и защиты. Один из самых изощрённых приемов, который начал активно использоваться в последние годы — внедрение вредоносного программного обеспечения непосредственно в систему доменных имён, или DNS. DNS является одним из фундаментальных сервисов интернета, отвечающих за преобразование читаемых человеком имен сайтов в IP-адреса, понятные компьютерам. На первый взгляд кажется, что DNS служит лишь для облегчения навигации по сети. Однако зловреды нашли способ использовать возможности DNS для хранения и передачи вредоносных данных посредством записей типа TXT, что создаёт новую опасную ветвь атак и усложняет задачи специалистов по безопасности.
Основная суть этого механизма состоит в том, что злоумышленники разбивают вредоносный файл, например, исполняемый файл (.exe) или изображение, на множество фрагментов, которые затем кодируют в шестнадцатеричный формат. Полученные части размещаются в TXT-записях различных поддоменов одного и того же домена. Такой способ позволяет хранить весь файл в распределённом виде в DNS-записях, которые могут быть загружены и собраны обратно через DNS-запросы. На практике это означает, что вредоносный код можно хранить в открытом доступе, не привлекая внимание традиционных систем безопасности, таких как антивирусы, которые не анализируют DNS-трафик в поисках исполняемых файлов.
Одним из первых ярких случаев обнаружения такой техники стал анализ записей в DNSDB Scout в 2021-2022 годах, где были найдены TXT-записи, начинавшиеся с магических байтов файловых форматов — уникальных сигнатур, указывающих на типы файлов. С помощью регулярных выражений исследователи сумели выделить среди сотен тысяч DNS-запросов эти подозрительные записи. Появление таких результатов свидетельствовало, что DNS несёт в себе не просто метаданные, а реальные бинарные файлы, тщательно фрагментированные и хранящиеся в распределённом виде. В частности, были обнаружены файлы с заголовками исполняемых файлов Windows, которые по SHA256-хэшу оказались совпадать с известным вредоносным ПО Joke Screenmate. Это тип «шутливого» или разыгрывающего программного обеспечения, которое вредит пользователям, показывая поддельные сообщения об ошибках, предупреждения о вирусах или анимации, имитирующие удаление системных файлов.
Несмотря на кажущуюся безобидность, такие программы способны вызывать панику у пользователей, мешать их взаимодействию с системой и даже приводить к снижению производительности компьютера или вызывать сбои. Идентификация этих файлов была возможна благодаря тому, что злоумышленники использовали поддомены с числовыми индексами для хранения каждой части вредоносного исполняемого файла. Последовательно собирая ответы DNS с этих поддоменов и компилируя содержимое TXT-записей, исследователи смогли отреставрировать исходный файл и подтвердить его идентичность. Это демонстрирует высокую технику организации и планирования у киберпреступников, а также необходимость развития методов мониторинга DNS-трафика. Кроме хранения вредоносных исполняемых файлов, в DNS также были замечены случаи размещения вредоносных команд для заражённых машин.
Например, в одной из подсетей на домене drsmitty.com находилась TXT-запись с закодированным PowerShell скриптом, который действовал как стейджер — небольшой загрузчик, запускающий дальнейшую цепочку заражения, в том числе подключение к управляющему серверу команд и контроля (C2). При этом управляющий сервер располагался на отдельном домене и был доступен через определённый адрес сервера, характерный для использования Covenant C2 — популярного инструмента дистанционного управления системами заражённых машин. Технология хранения и передачи управляющих скриптов и файлов через DNS позволяет обходить многие традиционные меры безопасности. Контрольный трафик для стандартных HTTP или HTTPS-соединений обычно мониторится корпоративными средствами безопасности.
Однако DNS-запросы часто считаются безопасными и не подлежат глубокому анализу, что создаёт «лазейку» в защите. Чтобы получить и выполнить вредоносный скрипт, в систему должен быть предварительно внесён код или осуществлено действие, запускающее DNS-запрос и последующую загрузку вредоносного содержимого. Развитие и выявление подобных методов указывает на серьёзное изменение ландшафта киберугроз. Ранее DNS рассматривался исключительно как инфраструктурный сервис, а теперь он становится полноценным вектором атаки. Это требует от специалистов по безопасности обновления архитектуры мониторинга и анализа трафика, включая регулярное сканирование DNS-запросов на предмет закономерностей, характерных для хранения в них бинарных данных.
В дополнение к прямой угрозе от хранения вредоносного ПО, такие техники открывают возможности для создания скрытых каналов связи между заражёнными машинами и управляющими серверами. Передача данных через DNS позволяет маскировать вредоносную активность под обычный системный трафик, что значительно затрудняет обнаружение и устранение инцидентов. Сотрудничество между исследовательскими группами и использование интеллектуальных механизмов анализа больших данных, включая применение искусственного интеллекта для декодировки и сборки данных из DNS, становится ключевым в борьбе с подобными угрозами. Создание скриптов и автоматизация процесса восстановления вредоносных файлов из DNS-записей позволяет повысить эффективность работы аналитиков и своевременно реагировать на новые угрозы. Для пользователей и организаций важной рекомендацией становится внедрение комплексных решений мониторинга DNS-трафика, регулярное обновление правил обнаружения на предмет содержания необычных данных в TXT-записях и анализа шаблонов запросов.
Повышение осведомлённости сотрудников о новых методах атак и проведение тренингов по реагированию на подозрительные активности также играют важную роль в укреплении защиты. В целом, техника скрытого хранения вредоносного ПО и команд через DNS TXT-записи отражает рост сложности современных кибератак. Успешная защита от них требует междисциплинарного подхода, объединяющего кибербезопасность, анализ сетевого трафика, и машинное обучение для идентификации нетипичного поведения. Постоянное изучение новых методов и своевременное реагирование помогут минимизировать риски и обеспечить надёжность информационной инфраструктуры в будущем.
