Siber güvenlik araştırmacıları, tehdit aktörlerinin kötü amaçlı yazılımları gizlice depolamak ve dağıtmak için DNS altyapısını kullandıkları ve internetin alan adı sistemini kötü niyetli faaliyetler için farkında olmayan bir suç ortağı haline getirdikleri sofistike bir teknik ortaya çıkardılar.
Keşif, saldırganların DNS TXT kayıtlarındaki yürütülebilir dosyaları nasıl gizleyebileceğini ve geleneksel güvenlik önlemlerini atlayan gizli bir dağıtım mekanizması oluşturabileceğini ortaya koyuyor.
Saldırı yöntemi, kötü amaçlı yazılım dosyalarını daha küçük segmentlere ayırmayı ve bunları onaltılık formata dönüştürdükten sonra birden fazla DNS TXT kayıtında saklamayı içerir.
Pasif olarak toplanan DNS kayıtlarını analiz eden güvenlik araştırmacıları, bu tekniğin 2021-2022 yılları arasında aktif olarak kullanıldığına dair kanıt buldular ve saldırganlar, görünüşte zararsız DNS girişlerine tam yürütülebilir dosyaları yerleştirdi.
Araştırma bulguları, “Dosyalar DNS TXT kayıtlarında bölümlenebilir ve saklanabilir, ardından DNS istekleri aracılığıyla alınabilir ve bir araya getirilebilir” diye açıklıyor.
Bu yaklaşım, DNS sunucuları kayıtları kaldırana veya üzerine yazana kadar kötü amaçlı dosyaların devam etmesini sağlar ve internet altyapısında yetkisiz veri depolama sağlar.
Gerçek dünya keşfi
Müfettişler, “felix.stf.whitetreecollective[.]com, ”yüzlerce alt alan girişi içeriyordu, her biri farklı kötü amaçlı yazılım parçalarını saklıyor.
Araştırmacılar, onaltılık kalıpları analiz ederek ve parçalanmış verileri yeniden birleştirerek, şaka screen ekli yazılım olarak tanımlanan tam yürütülebilir dosyaları başarılı bir şekilde yeniden inşa ettiler.
Kötü amaçlı yazılım örnekleri, SHA256 Hashes 7FF0ECF2953B8662ED1577E330A514F0992C18AA3C14ED77CF2FFC115B0866 ve E7B22BA761A7F853B63933FFE517C61596710DBDEE992A429AC1BC8D04186A1, sahte hata mesajları, zorlanması zor uygulamalar ve kaynakların bastırıcı animasyonları yoluyla kullanıcı sistemlerini bozmak için tasarlanmış prank yazılımını temsil ediyor.
Soruşturma, basit şaka yazılımının ötesinde keşiflerle ilgili daha fazla şey ortaya koydu. Araştırmacılar, daha sofistike kötü amaçlı yazılım enfeksiyonları için stager olarak işlev gören kodlanmış PowerShell komut dosyaları içeren DNS TXT kayıtları buldular.
Bu komut dosyaları komut ve kontrol sunucularına bağlanır ve özellikle Covenant C2 altyapısını “/API/V1/NPS/LAPROUL/Stage1” gibi varsayılan uç noktalarla hedefler.
“Drsmitty[.]com ”, DNS kayıtlarında birden fazla kötü amaçlı komut barındırma olarak tanımlandı ve bağlantılar C2 alanına geri döndü“ CSPG[.]PW. ”
Tarihsel analiz, bu tekniğin en az 2017’den beri kullanıldığını ve tehdit aktörleri tarafından uzun vadeli bir kampanyayı gösterdiğini göstermektedir.
Bu DNS tabanlı kötü amaçlı yazılım dağıtım yöntemi, algılamayı önlemek için meşru internet altyapısını kullandığı için siber güvenlik uzmanları için önemli zorluklar sunmaktadır.
Teknik, saldırganların yöntemlerini nasıl geliştirmeye devam ettiklerini ve güvenilir sistemleri kötü niyetli amaçlar için kötüye kullanmanın yeni yollarını nasıl bulduğunu göstermektedir.
Kuruluşlar, olağandışı TXT kayıt kalıplarını ve şüpheli alan davranışlarını tespit etmek için kapsamlı DNS izleme ve filtreleme çözümlerini uygulamalıdır.
Keşif, DNS trafiğini sadece arka plan internet işlevinden ziyade potansiyel bir saldırı vektörü olarak ele almanın öneminin altını çiziyor.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now