DNS, или система доменных имён, представляет собой адресную книгу интернета, которая позволяет преобразовывать доменные имена в IP-адреса. Это важный элемент инфраструктуры сети, обеспечивающий доступ пользователей к веб-ресурсам.
Вредоносное ПО в DNS-записях
Недавние исследования экспертов службы DomainTools показали, что киберпреступники нашли способ скрывать вредоносное программное обеспечение в записях DNS. В частности, они стали использовать записи типа TXT, которые предназначены для хранения текстовой информации. Этот метод позволяет им разбивать вредоносное ПО на небольшие фрагменты и размещать их в различных записях, создавая своеобразную цифровую головоломку.
Как это работает?
Процесс работы данной схемы выглядит следующим образом:
- Вредоносный файл разбивается на мелкие закодированные части.
- Эти части помещаются в DNS-записи типа TXT, распределенные по различным поддоменам.
- Скрипты злоумышленников заставляют компьютер жертвы запрашивать эти записи.
- При сборе всех частей они восстанавливают полноценный вредоносный файл.
Пример вредоносного ПО: Joke Screenmate
Одним из примеров такого вредоносного ПО является программа Joke Screenmate, которая имитирует системные ошибки и вызывает непредсказуемое поведение курсора мыши. Кроме того, эксперты обнаружили скрытый скрипт PowerShell Stager, который способен загружать и выполнять более опасные программы.
Методы защиты от атак
Существуют несколько рекомендаций для защиты от подобных угроз:
- Внедрение мониторинга DNS-трафика для выявления необычных закономерностей.
- Обращение внимания на повторяющиеся запросы типа TXT.
- Использование инструментов для проверки DNS-записей, которые выходят за рамки простых функций сопоставления имён.
- Применение средств аналитики угроз, включая анализ вредоносных доменов и поддоменов.
Заключение
На данный момент фактических атак с использованием данного метода не зафиксировано, но учитывая его простоту и эффективность, это может стать реальной угрозой в будущем.
