در دنیای امنیت سایبری، هیچ بخشی از زیرساخت دیجیتال دیگر امن بهحساب نمیآید. پژوهشگران امنیتی اخیراً روشی عجیب و پیچیده را کشف کردهاند که در آن بدافزار مستقیماً در سامانه نام دامنه (DNS) پنهان شده است.
به گزارش ایتنا و به نقل از تکاسپات، DNS که معمولاً برای برگردان نام دامنه به آدرس IP استفاده میشود، حالا بهدلیل وجود رکوردهای متنی (TXT) که میتوانند دادههای متنی دلخواه را ذخیره کنند، به بستر جدیدی برای انتقال کدهای مخرب تبدیل شده است. تیم DomainTools با بررسی این رکوردها، موفق شد نمونههایی از بدافزار را در قالب رشتههای هگزادسیمال کشف کند.
مهاجم فایل اجرایی آلوده را به صدها قطعه رمزگذاریشده تقسیم کرده و هرکدام را در زیر دامنهای جداگانه قرار داده بود. سپس با کمک یک ابزار مبتنی بر هوش مصنوعی، اسکریپتی برای بازسازی این قطعات تولید کرد. فایل نهایی با دو هش شناختهشده از یک بدافزار طنزآمیز (Joke Screenmate) مطابقت داشت؛ برنامهای که با تقلید رفتارهای مخرب میتواند عملکرد سیستم و کنترل کاربر را مختل کند.
در ادامه این بررسی، پژوهشگران به اسکریپت پاورشل رمزگذاریشدهای برخوردند که از طریق DNS به سرور فرماندهی و کنترل (C2) متصل میشد. این سرور به چارچوب Covenant مرتبط بود؛ ابزاری قانونی که اغلب توسط مهاجمان برای بهرهبرداریهای بعدی استفاده میشود.
به گزارش ایتنا و به نقل از تکاسپات، DNS که معمولاً برای برگردان نام دامنه به آدرس IP استفاده میشود، حالا بهدلیل وجود رکوردهای متنی (TXT) که میتوانند دادههای متنی دلخواه را ذخیره کنند، به بستر جدیدی برای انتقال کدهای مخرب تبدیل شده است. تیم DomainTools با بررسی این رکوردها، موفق شد نمونههایی از بدافزار را در قالب رشتههای هگزادسیمال کشف کند.
مهاجم فایل اجرایی آلوده را به صدها قطعه رمزگذاریشده تقسیم کرده و هرکدام را در زیر دامنهای جداگانه قرار داده بود. سپس با کمک یک ابزار مبتنی بر هوش مصنوعی، اسکریپتی برای بازسازی این قطعات تولید کرد. فایل نهایی با دو هش شناختهشده از یک بدافزار طنزآمیز (Joke Screenmate) مطابقت داشت؛ برنامهای که با تقلید رفتارهای مخرب میتواند عملکرد سیستم و کنترل کاربر را مختل کند.
در ادامه این بررسی، پژوهشگران به اسکریپت پاورشل رمزگذاریشدهای برخوردند که از طریق DNS به سرور فرماندهی و کنترل (C2) متصل میشد. این سرور به چارچوب Covenant مرتبط بود؛ ابزاری قانونی که اغلب توسط مهاجمان برای بهرهبرداریهای بعدی استفاده میشود.
به گفته متخصصان، یکی از نگرانیهای اصلی، رشد فناوریهای رمزنگاریشدهای مانند DNS over HTTPS و DNS over TLS است. این ابزارها اگرچه برای افزایش حریم خصوصی طراحی شدهاند، اما به هکرها نیز این امکان را میدهند که ترافیک مخرب را از نگاه سیستمهای امنیتی پنهان کنند.
یان کمپبل از شرکت DomainTools در بیانیهای ایمیلی هشدار داد که در صورت استفاده نکردن از سامانههای محلی برای تحلیل DNS، عملاً امکان تشخیص درخواستهای مخرب وجود نخواهد داشت. این رویکرد جدید زنگ خطری برای سازمانهاست که باید زیرساختهای امنیتی خود را بهروزرسانی کنند تا از چنین حملاتی در امان بمانند.