Cybercriminelen gebruiken steeds ingenieuzere methodes om detectie te ontwijken. Een recent voorbeeld laat zien hoe het domeinnaamsysteem (DNS), dat oorspronkelijk bedoeld is om domeinnamen te koppelen aan IP-adressen, wordt ingezet als ongebruikelijk opslagmedium voor malware.
Door malware in kleine stukjes te verpakken en te verstoppen in DNS TXT-records, kunnen aanvallers bestanden opslaan en ophalen via een kanaal dat vaak buiten het zicht van traditionele beveiliging valt.
Onderzoekers van DomainTools meldden dinsdag dat ze onlangs de truc hadden ontdekt die werd gebruikt om een kwaadaardig binair bestand te hosten voor Joke Screenmate, een vorm van hinderlijke malware die de normale en veilige functies van een computer verstoort. Het gedrag varieert van nepwaarschuwingen en visuele verstoringen tot serieuze systeemvertragingen.
Eenvoudige maar doeltreffende methode
Het achterliggende mechanisme is technisch eenvoudig maar doeltreffend, legt Ars Technica uit. Het malwarebestand wordt eerst omgezet naar hexadecimale representatie, die vervolgens in stukjes wordt verdeeld en opgeslagen in de TXT-records van verschillende subdomeinen. Deze records kunnen via reguliere DNS-verzoeken worden opgevraagd, weer worden samengevoegd en omgezet naar het oorspronkelijke binaire bestand. Omdat DNS-verkeer zelden grondig wordt geanalyseerd door beveiligingsoplossingen, blijven zulke operaties vaak onopgemerkt.
De situatie wordt complexer door de opkomst van versleutelde DNS-verzoeken via DOH (DNS over HTTPS) en DOT (DNS over TLS). Deze technieken versleutelen het DNS-verkeer tot aan de resolver, waardoor netwerkbeheerders en beveiligingstools nauwelijks zicht hebben op de inhoud van de verzoeken. Volgens Ian Campbell van DomainTools kunnen zelfs organisaties met eigen DNS-resolvers moeite hebben met het onderscheiden van legitieme en verdachte verzoeken.
Meerdere toepassingen
De onderzoekers kwamen ook andere toepassingen tegen van deze methode. In een ander domein troffen zij PowerShell-scripts aan die dienstdoen als stager voor verdere malware, vermoedelijk voor gebruik in een Covenant C2-commandostructuur. Dit soort stagers haalt zijn vervolglading op bij andere domeinen en wordt pas actief nadat een lokaal proces het script uitvoert. Ook dit werd via TXT-records opgeslagen en verspreid.
Een opvallende vondst was het gebruik van DNS-records voor zogeheten prompt-injecties gericht op AI-chatbots. Door vooraf bepaalde instructies als tekst in te bedden in DNS-records, kunnen aanvallers gedrag manipuleren van systemen die deze tekst analyseren. Voorbeelden van deze injecties variëren van opdrachten om data te wissen tot het instrueren van modellen om volledig afwijkend gedrag te vertonen.
De casus benadrukt dat DNS niet langer een puur functioneel protocol is, maar een potentieel risicovolle vector voor datadiefstal, malwareverspreiding en manipulatie. Zolang monitoring van DNS-verkeer achterblijft, blijft deze blinde vlek aantrekkelijk voor cybercriminelen.