Hackeri ukrývajú malvér priamo v DNS a na jeho zloženie používajú umelú inteligenciu.
Kyberzločinci našli nový, takmer neviditeľný spôsob, ako doručiť škodlivý kód do systémov obetí. Využívajú na to samotné základy fungovania internetu – systém doménových mien (DNS). V kombinácii s umelou inteligenciou a šifrovaním sa z DNS stáva dokonalý kanál na pašovanie malvéru, ktorý dokáže obísť takmer všetky pokročilé bezpečnostné nástroje. Bezpečnostní experti a etickí hackeri neustále odhaľujú nové a nečakané miesta, kam dokážu útočníci ukryť škodlivý kód.
Po bizarných prípadoch, ako bolo ukrytie ransomvéru priamo v procesore počítača, teraz útočníci siahajú ešte hlbšie do základov sieťovej infraštruktúry. Najnovší objav ukazuje, že ani zdanlivo neškodný systém doménových mien (DNS), ktorý slúži ako „telefónny zoznam internetu“, nie je v bezpečí. Výskumníci z bezpečnostnej firmy DomainTools odhalili sofistikovanú metódu, pri ktorej bol malvér vložený priamo do DNS záznamov.
Tento prístup podčiarkuje rastúci trend: žiadna časť digitálnej infraštruktúry nie je príliš obyčajná na to, aby sa stala vektorom pre sofistikované hrozby. Podnetom pre výskum boli skoršie správy o tom, že niekto dokázal do DNS záznamov ukryť obrázky. Tím preto začal systematicky prehľadávať DNS záznamy typu TXT a hľadať v nich binárne alebo neštandardné dáta. Práve TXT záznamy, ktoré môžu obsahovať ľubovoľný text a často sa používajú na overenie vlastníctva domény, sa ukázali ako prekvapivo efektívny skrytý kanál.
Technika útoku pozostáva z niekoľkých krokov:
- Konverzia malvéru: Útočník vezme škodlivý spustiteľný súbor (napríklad .exe) a prevedie ho na hexadecimálne reťazce (textovú podobu zloženú z čísel a písmen).
- Fragmentácia: Tento textový reťazec následne rozdelí na stovky malých fragmentov.
- Distribúcia: Každý jednotlivý fragment uloží do samostatného TXT záznamu na inej subdoméne patriacej k rovnakej hlavnej doméne.
Pri hlbšej analýze výskumníci pátrali po známych tzv. „magických bajtoch“ – unikátnych identifikátoroch, ktoré sa nachádzajú v hlavičkách spustiteľných súborov. Našli viacero prípadov známej hlavičky súboru .exe, ktorej časti boli roztrúsené po stovkách rôznych subdomén. To potvrdilo existenciu komplexnej a veľmi nenápadnej schémy na distribúciu malvéru.
Analytici sa domnievajú, že útočník na poskladanie fragmentov späť do funkčného celku na strane obete využil moderné nástroje. Podľa nich si pravdepodobne nechal pomocou generatívnej umelej inteligencie rýchlo vytvoriť skript, ktorý je schopný tieto stovky fragmentov z DNS záznamov načítať a opäť ich spojiť do pôvodného súboru. Po rekonštrukcii sa binárny súbor zhodoval s dvoma známymi hashmi (SHA-256) malvéru Joke Screenmate.
Ide o tzv. „prankovací“ malvér, ktorý síce nie je priamo deštruktívny, ale napodobňuje deštruktívne správanie a môže narušiť normálne fungovanie systému a kontrolu používateľa nad počítačom. To však nebolo všetko. Pomocou rovnakej investigatívnej techniky tím odhalil aj zakódovaný PowerShell skript, ktorý bol taktiež vložený do DNS záznamov. Tento skript sa pripájal na riadiaci (command-and-control) server spojený s frameworkom Covenant.
Covenant je legitímny nástroj na testovanie bezpečnosti po úspešnom prieniku, ktorý však kyberzločinci často zneužívajú na svoje účely. Takéto spojenie by mohlo útočníkovi uľahčiť sťahovanie ďalších škodlivých súborov a byť súčasťou väčšieho, oveľa sofistikovanejšieho útoku. Prečo je DNS čoraz atraktívnejším cieľom?
Ian Campbell, inžinier zo spoločnosti DomainTools, v stanovisku zdôraznil rastúce riziko doručovania malvéru cez DNS, najmä s rozširovaním šifrovacích technológií ako DNS over HTTPS (DoH) a DNS over TLS (DoT). „Pokiaľ nie ste jednou z firiem, ktoré si DNS požiadavky riešia vo vlastnej sieti, nemôžete ani len povedať, čoho sa požiadavka týka, nieto ešte či je normálna alebo podozrivá,“ uviedol Campbell.
Využívaním týchto šifrovaných DNS protokolov môžu kyberzločinci efektívne prepašovať škodlivý kód popri väčšine detekčných systémov. Šifrovanie, ktoré má chrániť súkromie používateľov, tak vytvára slepé miesto pre bezpečnostné nástroje a robí z DNS čoraz atraktívnejší vektor pre skryté a ťažko odhaliteľné útoky.