پشت‌پرده حملات جدید سایبری / بدافزار از راهی وارد می‌شود که هیچ‌کس انتظارش را ندارد

به گزارش خبرآنلاین، به تازگی پژوهشگران شرکت امنیتی DomainTools از روشی پرده برداشته‌اند که در آن، بدافزارها درون رکوردهای DNS پنهان می‌شوند. روشی که نه تنها هوشمندانه است، بلکه به‌سختی توسط سامانه‌های معمول ضدویروس قابل ردیابی است.

در این تهدید تازه، فایل بدافزار ابتدا به جای ارسال مستقیم، به کدهای هگزادسیمال (ترکیبی از اعداد ۰ تا ۹ و حروف A تا F) تبدیل می‌شود. این کدها به صدها بخش کوچک تقسیم شده و در رکوردهای TXT مربوط به زیردامنه‌های یک سایت مشخص ذخیره می‌شوند. مهاجم سپس با ارسال درخواست‌های ظاهراً بی‌ضرر DNS، این بخش‌ها را بازیابی کرده و مجدداً به یک فایل باینری قابل اجرا تبدیل می‌کند.

نکته مهم این است که ترافیک DNS معمولاً توسط آنتی‌ویروس‌ها و فایروال‌ها نادیده گرفته می‌شود، زیرا بخش اعظم تمرکز آن‌ها روی ترافیک وب و ایمیل است. با گسترش استفاده از روش‌هایی مثل DNS over HTTPS (DoH) و DNS over TLS (DoT)، تحلیل ترافیک DNS حتی برای سازمان‌های پیشرفته نیز دشوارتر شده است. این روش‌ها ترافیک DNS را رمزنگاری می‌کنند تا فقط سرور مقصد بتواند محتوای آن را ببیند.

استفاده از رکوردهای DNS برای پنهان‌سازی اسکریپت‌های مخرب موضوع جدیدی نیست. پیش‌تر، از رکوردهای TXT برای قرار دادن اسکریپت‌های PowerShell استفاده شده بود. اما روش اخیر که در آن، فایل کامل بدافزار به‌شکل کد هگزادسیمال در رکوردهای DNS پنهان می‌شود نسبتاً ناشناخته‌تر است و می‌تواند آغازی برای موج جدیدی از حملات باشد.

منبع:‌ arstechnica

۵۸۵۸