В современных условиях безопасности информации хакеры постоянно ищут новые пути, чтобы обходить стандартные системы защиты и оставаться незамеченными. Одним из таких методов, который приобретает всё большую популярность среди злоумышленников, стало использование DNS-записей для передачи вредоносного ПО. Это вызывает серьёзную тревогу у специалистов по информационной безопасности, так как данный канал связи пока что является слабозаметным и практически не контролируется большинством защитных систем. В отличие от веб-трафика или почтовых сообщений, которые тщательно анализируются при помощи различных систем фильтрации и инспекции, DNS-запросы часто остаются в зоне невнимания. DNS — фундаментальный протокол, обеспечивающий преобразование доменных имён в IP-адреса, используется практически во всех сетях, поэтому он традиционно считается безопасным и не вызывает подозрений.
Однако как выяснилось, злоумышленники научились использовать записи TXT и другие типы DNS-записей для размещения вредоносных фрагментов, которые затем собираются и реконструируются в полноценные вредоносные файлы. Этот подход является весьма изощренным и эффективным, поскольку он позволяет обойти многие традиционные методы защиты и сокрыть вредоносные компоненты в потоке данных, который зачастую ни кем не анализируется. Исследования компании DomainTools выявили, что вредоносное ПО под названием Joke Screenmate распространялось именно таким способом. Этот малварь, хоть и создана скорее для розыгрыша, способен выводить на экран жертвы искусственно сгенерированные ошибки, пугающие анимации, например, исчезающие файлы, а также создавать сбои в управлении курсором и замедлять работу системы. Несмотря на то, что Joke Screenmate не является серьёзной угрозой, подобная техника способна служить тестовой нагрузкой для более опасных вредоносов, которые могут появиться позже.
Сам механизм организации передачи вредоносного кода через DNS основан на преобразовании двоичного файла в шестнадцатеричный формат, после чего он разбивается на множество маленьких фрагментов. Каждый из таких фрагментов скрывается в отдельной DNS-записи на поддомене, чаще всего в TXT-записи, которая предназначена для хранения произвольного текста и традиционно используется для подтверждения владения доменом или настройки почтовых сервисов. Хакеры специально подбирают этот тип записей, поскольку их трафик в большинстве компаний не блокируется и не подвергается всестороннему анализу. В итоге злоумышленник, получивший доступ к корпоративной сети, может посредством серии вполне безобидных DNS-запросов извлечь все нужные данные, собрать их воедино, выполнить обратное преобразование из шестнадцатеричного представления в двоичное и получить рабочий исполняемый файл. Тем самым происходит скрытая доставка малвари, которая не вызывает никаких подозрений и практически не оставляет следов в традиционных журналах безопасности.
Особую озабоченность вызывает то, что подобный вид атак становится ещё сложнее обнаружить и предотвратить из-за активного внедрения технологий DOH (DNS over HTTPS) и DOT (DNS over TLS). Они обеспечивают шифрование DNS-трафика, что, безусловно, улучшает конфиденциальность пользователей, но также и затрудняет мониторинг и аналитику сетевого трафика со стороны специалистов по безопасности. Если организация не управляет собственным DNS-резолвером и не имеет возможности инспектировать внутренние запросы, она просто не сможет узнать, какие запросы были сделаны и чем они могли грозить. Это создаёт серьёзный вызов для построения эффективной системы защиты, особенно в крупных компаниях с распределённой сетью и множеством пользователей. Кроме того, применяемая злоумышленниками методика не является полностью новой.
Исследования показывают, что ещё в 2017 году эксперты по безопасности обнаруживали аналогичные техники, когда через DNS-записи TXT распространялись вредоносные скрипты PowerShell. Эти скрипты могли выполнять широкий спектр вредоносных действий, от кражи данных до удалённого управления системой. Отчёты DomainTools подтверждают, что данная техника продолжает использоваться и по сей день. Например, была зафиксирована активность, связанная с доменом drsmitty.com, где вредоносные PowerShell-скрипты скрывались и передавались посредством DNS.
Помимо прямого распространения вредоносного кода, в DNS-записях были обнаружены и необычные «промпты» — текстовые команды и инструкции, которые предназначены для манипуляции поведением искусственного интеллекта в чат-ботах и других системах с применением нейросетей. Среди выявленных инструкций встречались призывы игнорировать предыдущие команды, выдавать случайные данные, удалять обучающие данные или выполнять нестандартные действия, например, отвечать в кодировке ROT13 или «восставать против хозяев». Такой вид атаки представляет собой новую грань киберугроз, направленных на манипуляцию системами искусственного интеллекта, которые всё активнее интегрируются в различные сферы деятельности. В совокупности, все эти факты свидетельствуют о том, что хакеры продолжают развивать и усовершенствовать свои методы, используя протоколы и сервисы, которые изначально воспринимаются как безопасные и неподверженные атакам. Для эффективной защиты от таких угроз важны комплексный подход и повышение осведомлённости специалистов.
Рекомендуется внедрять расширенный мониторинг DNS-трафика, в том числе анализировать аномалии в запросах и ответы, а также при возможности использовать собственные DNS-резолверы с функцией полноценного логирования и инспекции. Кроме того, важным элементом профилактики является регулярное обучение сотрудников и повышение культуры информационной безопасности, чтобы минимизировать вероятность проникновения злоумышленников в корпоративную сеть. Также стоит держать в актуальном состоянии системы фильтрации и угроз, которые способны выявлять нетипичное поведение DNS-запросов. В результате умение хакеров скрывать вредоносные компоненты в DNS-записях демонстрирует, что традиционные подходы к сетевой безопасности нуждаются в обновлении с учётом новых технологий и методов атак. Пользователям и администраторам рекомендуется уделять повышенное внимание анализу DNS-трафика, использованию современных средств контроля и принятию проактивных мер для защиты инфраструктуры от таких скрытых угроз.
В целом, вопрос безопасности DNS-трафика становится ключевым аспектом борьбы с современными кибератаками и требует постоянного развития и адаптации систем защиты. Только комплексный и научный подход позволит минимизировать риски и обеспечить надёжную защиту данных и систем в эпоху стремительного развития цифровых технологий.
