Un nuevo vector de ataque sofisticado donde los actores maliciosos están ocultando malware dentro de los registros de DNS, explotando un punto ciego crítico en la infraestructura de seguridad de la mayoría de las organizaciones.
Esta técnica transforma el sistema de nombres de dominio de Internet en un sistema de almacenamiento de archivos no convencional, lo que permite a los atacantes distribuir malware mientras evade los métodos de detección tradicionales.
Investigaciones recientes que utilizan DNSDB Scout, una plataforma pasiva de inteligencia DNS, han revelado que los ciberdelincuentes están dividiendo archivos de malware y los almacenan en registros DNS TXT.
Estos registros, diseñados inicialmente para contener el texto descriptivo para dominios, pueden almacenar datos arbitrarios que persiste hasta que los servidores DNS eliminen o sobrescriban los registros.
La metodología de ataque implica convertir archivos ejecutables maliciosos en formato hexadecimal y luego fragmentarlos a través de múltiples subdominios.
Los investigadores de Domaineols descubrieron evidencia de esta técnica buscando bytes de archivos mágicos en formato hexadecimal utilizando patrones regex sofisticados para identificar varios tipos de archivos ejecutables y comunes.
Malware en DNS TXT Records
Durante el análisis de los registros DNS de 2021-2022, los investigadores de seguridad identificaron registros de TXT que contienen encabezados de archivos ejecutables en tres dominios diferentes que comparten patrones de subdominios idénticos.
El descubrimiento más significativo involucró el dominio “*.felix.stf. WhitTreeCollective (.) Com”, que contenía cientos de valores enteros de subdominios iterados, cada uno almacenaba diferentes fragmentos de un archivo ejecutable.
Al volver a armar estos fragmentos utilizando los valores enteros como marcadores de secuencia, los investigadores reconstruyeron con éxito archivos de malware completos con hashes SHA256:
7ff0ecf2953b86662ede157e3330a514f09992c18aa3c14ed77cf2ffc115b0866 e7b22ba761a7f853b639333333c61596710dbdeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
Ambos archivos fueron identificados como malware de check screenmate, una forma de software de bromas que exhibe varios comportamientos disruptivos, incluida la simulación de acciones destructivas, interferir con el control del usuario, mostrar contenido no solicitado y causar problemas de rendimiento del sistema.
La investigación reveló un descubrimiento más preocupante: los comandos Maliciosos de PowerShell almacenados en TXT Records.
Investigadores encontró Scripts de stager codificados en registros DNS asociados con Drsmitty (.) COM que se conectan a CSPG (.) PW, utilizando el punto final predeterminado para un servidor C2 del Pacto (/API/V1/NPS/Payload/Stage1) para entregar cargas útiles de la próxima etapa.
Esta técnica representa una evolución significativa en la entrega de malware, ya que las soluciones de seguridad a menudo pasan por alto el tráfico de DNS en comparación con el monitoreo extenso de las comunicaciones web y de correo electrónico.
El mismo dominio C2 se identificó en los registros de DNS que datan de julio de 2017, lo que sugiere que este vector de ataque ha estado operativo durante años.
El túnel DNS y el almacenamiento de malware explotan una debilidad fundamental en las estrategias de seguridad empresarial. DNS con frecuencia queda fuera de la visibilidad y la planificación del cumplimiento, a pesar de ser la columna vertebral de la infraestructura digital moderna.
Estudios recientes indican que el 90% del malware usa DNS en su cadena de muerte, con un 95% usando DNS para comunicarse con servidores de comando y control.
El aumento de los protocolos DNS cifrados como DNS sobre HTTPS (DOH) y DNS sobre TLS (DOT) complica aún más los esfuerzos de detección. Estas tecnologías, diseñadas para proteger la privacidad del usuario, también proporcionan a los atacantes cobertura adicional para sus actividades maliciosas.
Los expertos en seguridad enfatizan que las organizaciones deben implementar soluciones integrales de monitoreo y filtrado de DNS para detectar estos ataques sofisticados.
A medida que los ciberdelincuentes continúan explotando protocolos de confianza como DNS, las empresas ya no pueden permitirse tratar el DNS como un servicio de utilidad simple que requiere una supervisión de seguridad mínima.
El descubrimiento de este vector de ataque subraya la necesidad crítica de soluciones de seguridad DNS que pueden distinguir entre consultas legítimas y las utilizadas para fines maliciosos, transformando DNS de un punto ciego de seguridad en un mecanismo de defensa proactivo.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
