Sió-Informatika Rendszerház

HÍREK

Kiberbűnözők DNS rekordokat használnak malware rejtésére és terjesztésére – új, láthatatlan fenyegetés!

DNS rekord malware

A legújabb kutatások szerint a kiberbűnözők egyre gyakrabban használják a DNS rekordokat rosszindulatú szoftverek elrejtésére és továbbítására. Ez a technika kihasználja azt a tényt, hogy a Domain Name System (DNS) forgalma általában kevés figyelmet kap a vállalati biztonsági rendszerekben.

⚠️ Hogyan működik a támadás?

  • Malware DNS TXT rekordokban:A támadók a malware fájlokat feldarabolják, hexadecimális formátumban eltárolják különböző DNS TXT rekordokban, így azok hosszú ideig rejtve maradhatnak.
  • Fragmentáció, visszaállítás:Minden egyes TXT rekord egy-egy darabkát tartalmaz, amelyeket a támadó vagy malware később újra összerak.
  • Veszélyes, mert:A DNS forgalom (ellentétben a web vagy email forgalommal) ritkán esik át mélyebb biztonsági ellenőrzésen – így az adathalászat és a malware terjesztés szinte láthatatlan marad.

🧑‍💻 Felfedezett technikák és példák

  • PowerShell szkriptek rejtése:DNS TXT rekordokba ágyazott kódok, amelyek további parancsokat vagy kártékony modulokat töltenek le (például Covenant C2 szerverről).
  • AI chatbot prompt injection:Egyes DNS rekordokban mesterséges intelligencia modellek félrevezetésére alkalmas „prompt injection” szövegeket is találtak.
  • Valós példák:
    • *.felix.stf.whitetreecollective[.]com – több száz TXT rekord fragmentált végrehajtható malware-rel
    • drsmitty[.]com – PowerShell stage loader parancsok
  • Eredmények:A kutatók sikeresen rekonstruáltak malware-t (Joke Screenmate), amely képes volt rendszer-károsításra, jogosulatlan műveletekre.

🔒 Miért veszélyes ez a technika?

  • DNS, mint vakfolt:A DNS forgalom 90%-a része a malware-ek támadási láncának.
  • C2 kommunikáció:A malware-ek 95%-a DNS-t használ parancsvezérlő kapcsolathoz.
  • Titkosított DNS (DoH, DoT):Az újabb protokollok tovább nehezítik a biztonsági ellenőrzést.
  • Hagyományos védelmek kikerülése:A legtöbb antivírus nem vizsgálja a DNS rekordokat.

🛡️ Mit tegyenek a szervezetek?

  1. DNS forgalom folyamatos monitorozása, naplózása
  2. Haladó DNS szűrők, anomália-detektálás bevezetése
  3. DNS alapú indikátorok (IoC) folyamatos követése
  4. Alkalmazottak képzése a rejtett támadási vektorokról
  5. Titkosított DNS forgalom megfelelő vizsgálata

A DNS nem csak egyszerű hálózati szolgáltatás, hanem alapvető védelmi eszköz is lehet, ha megfelelően kezelik!

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!