Die Autoren von bösartigem Code sind kreativ genug, um ihre Ziele mit größtmöglicher Aussicht auf Erfolg zu erreichen, und verwenden eine Vielzahl von Tricks, um bösartigen Code zu verstecken. Wir sind an Bootkits gewöhnt, und im Prozessor versteckter bösartiger Code ist keine unbekannte Geschichte, aber was kürzlich aufgedeckt wurde, zeigt, dass fast nichts sicher ist, so kreativ sind sie bei der Nutzung der verfügbaren Infrastruktur und Tools. Die neu entdeckte Möglichkeit könnte nicht nur für allgemeine Hackergruppen, sondern auch für staatlich gesponserte Angreifer ein Weg nach vorn sein, wenn sie es versäumen, Schutzmaßnahmen zu ergreifen.
Das Domain Name System (DNS) sorgt im Grunde dafür, dass verschiedene Websites nicht über IP-Adressen, sondern über leichter zu merkende Domain-Namen aufgerufen werden, wobei die Übersetzung zwischen den beiden Namen vom Namensserver vorgenommen wird, völlig unbemerkt vom Durchschnittsnutzer - ganz einfach ausgedrückt. DNS-Server speichern einige Daten zu einer bestimmten Domäne, z. B. die Eigentumsverhältnisse, d. h. DNS-TXT-Einträge, die offenbar von Cyberkriminellen zum Verstecken bösartiger Codeschnipsel verwendet werden können. Dies kam ans Licht, als das Gerücht aufkam, dass Bilder in DNS-Einträgen versteckt werden. Die Forscher von DomainTools wollten dies überprüfen und begannen mit der Untersuchung von DNS-TXT-Einträgen, um nach binären oder großen Standarddaten zu suchen. Die Ergebnisse der Untersuchung zeigen, dass DNS-TXT-Datensätze eine gute Möglichkeit bieten, bösartige Codeschnipsel zu verstecken, und die Forscher fanden solche Codeschnipsel.
Nach den Erkenntnissen der Forscher ist es möglich, Codeschnipsel in DNS-TXT-Einträgen zu speichern, indem ausführbare Binärdateien in hexadezimale Zeichenfolgen umgewandelt werden, was eine interessante und sehr gefährliche Möglichkeit darstellt. Weitere Untersuchungen zielen nun auf die Suche nach "magischen Bytes" ab, bei denen es sich um spezielle Kennungen handelt, die sich in den Kopfzeilen des Codes verschiedener ausführbarer Dateien befinden. Sie geben im Wesentlichen Aufschluss über den Dateityp, so dass die Software weiß, was sie mit der Datei tun soll. Im Laufe der Untersuchung wurden in DNS-TXT-Datensätzen für verschiedene Subdomänen, die alle zur gleichen Hauptdomäne gehören, mehrere Fälle von .exe-Dateikopfcodes gefunden - jeder mit einem anderen Code im DNS-TXT-Datensatz. Insgesamt wurden Hunderte von Unterdomänen gefunden, die an dieser seltsamen und ungewöhnlichen Methode der Malware-Verbreitung beteiligt zu sein scheinen, die den meisten Verteidigern völlig verborgen bleibt.
DomainTools-Experten vermuteten, dass der Angreifer eine bösartige Binärdatei in Hunderte von hexadezimal kodierten Fragmenten zerlegt und diese Fragmente dann in den DNS-TXK-Einträgen verschiedener Subdomains gespeichert hat. Diese Fragmente können dann mithilfe generativer KI zusammengesetzt werden, um die bösartige ausführbare Datei zu erzeugen. Die Forscher haben dies getan, und interessanterweise haben sie eine Betrugs-Malware geschaffen, die den anvisierten Benutzer mit verschiedenen Fehlermeldungen und anderen Betrügereien unterhält, mit normalen Systemfunktionen interagiert, aber eigentlich keinen Schaden anrichtet, sondern nur lästig ist. Eine vollständige Beschreibung des spezifischen Testverfahrens finden Sie hier .
Mit dieser "lustigen" Malware wollte eine Gruppe das Potenzial der Manipulation von DNS-TXT-Einträgen aufzeigen, aber es wurde nicht enthüllt, welche Gruppe die Schuldigen waren. Natürlich blieben die Forscher nicht dabei stehen, sondern entdeckten bei ihrer weiteren Arbeit ein verschlüsseltes PowerShell-Skript, das mit einem bestimmten Kontroll-Server verknüpft ist, der Teil des Covenant-Frameworks ist, das Cyberkriminelle bevorzugt für ihre Angriffe verwenden, sobald sie sich Zugang zum System verschafft haben. Dadurch werden im Wesentlichen zusätzliche Dateien und Funktionen für einen Angriff bereitgestellt, was dessen Erfolg und Wirkung erhöht.
Nach Ansicht der DomainTools-Ingenieure könnte die DNS-basierte Malware-Verbreitung eine immer ernstere Bedrohung darstellen, insbesondere da verschiedene Datenverschlüsselungstechnologien wie die Namensauflösung über HTTPS oder TLS immer mehr Verbreitung finden. Das Problem dabei ist, so der Forscher Ian Campbell, dass es durch die Verschlüsselung im Grunde unmöglich ist, zu erkennen, was eine Anfrage gesendet wird, geschweige denn, ob sie einen normalen oder verdächtigen Inhalt hat. Die einzige Ausnahme ist, wenn das Unternehmen die DNS-Auflösung innerhalb seines eigenen Netzes durchführt.
Verschlüsselte DNS-Protokolle ermöglichen es Cyberkriminellen daher, auf effiziente Weise bösartigen Code zu übermitteln, der von den meisten Abwehrsystemen nicht erkannt wird, was DNS für Cyberkriminelle, die verdeckt Malware verbreiten wollen, immer attraktiver macht. Es ist zu hoffen, dass die Entwickler von Verteidigungssoftware und -technologien mit der Zeit auf die neue Bedrohung eingehen werden. Die Forscher haben sich nicht dazu geäußert, was getan werden kann, um die Angriffsfläche zu verringern, aber hoffentlich wird eher früher als später eine Lösung gefunden.
