Saldırganlar, kötü amaçlı yazılımları depolamak ve dağıtmak için alan adı sistemini (DNS) kötüye kullanıyor ve savunucular için potansiyel olarak kör noktalar oluşturuyor.
Güvenlik satıcısı Domaintools, dosyaların Etki Adı Sistemi (DNS) TXT kayıtlarında saklanabileceği ortaya çıkıyor.
Adından da anlaşılacağı gibi, TXT kayıtları, etki alanı sahiplerinin e -posta güvenliği ve kimlik doğrulaması ve sahipliğin doğrulanması gibi metin bilgilerini farklı amaçlar için depolamasına izin verir, bu da daha sonra küresel olarak kamu DNS’den alınabilir.
Saldırganlar, DNS’yi sorgulayarak ve bölümlenmiş ve kodlanmış dosyalar içeren alınan TXT kayıtlarını yeniden monte ederek, kötü amaçlı yazılımları sürekli olarak depolayabilir ve gerektiğinde erişebilir.
Domaintools’un araştırmacıları, TXT kayıtlarına kodlanan yürütülebilir ve ortak dosya kalıplarını aradılar ve bundan bir kötü amaçlı yazılım, şaka screenmate adlı daha eski bir şaka yazılımı buldular.
Başka bir araştırmacı, bir DNS isteğinde kimlik bilgilerinin ortaya çıktığını tespit ettiğini söyledi:
Bir ağ yakalamasında ince bir şey yakaladım, alt alanını çözene kadar normal görünen bir DNS isteği. Base64 kodlu kimlik bilgilerinin kaçak olduğunu ortaya çıkardı: kullanıcı adı = backup.admin, parola = GX#7KB! 93VP@s*l0p & 2f.
Dig’den aynı DNS sorgusunu tetikledim… pic.twitter.com/nim99oeni9
– Winston Ighodaro (@rationwhyte22) 15 Temmuz 2025
DNS’yi kötü niyetli amaçlar için kötüye kullanma tekniği yeni değil, Cybercx Victoria/Tazmanya’nın güvenlik, test ve güvence genel müdürü Liam O’Shannessy, itnews.
“DNS TXT’de kötü amaçlı yazılımların depolanması [records] Bir saldırı tekniği olarak benzersiz bir niş doldurur, “dedi O’Shannessy.
O’Shannessy, kötü amaçlı yazılım yüklerinin dağılımı da dahil olmak üzere DNS’nin komut ve kontrol için (C2) kullanılması hem saldırganlar hem de savunucular tarafından nispeten iyi anlaşılıyor.
Diyerek şöyle devam etti: “Bu tekniğin saldırganlar tarafından kullanılması nadirdir, çünkü birçok kuruluş için, bunu ağlarında bir şeylerin yanlış gittiğine dair güçlü bir sinyal olarak kullanabilen savunuculara göze çarpmaktadır.”
Bununla birlikte, cybercx, anormal DNS trafiği kaçırılabilir.
O’Shannessy, “Penetrasyon testlerimizde ve kırmızı ekip faaliyetlerimizde, DNS trafiğinin tespit ve yanıt yeteneklerinde ‘kör bir nokta’ olduğu organizasyonları düzenli olarak gözlemliyoruz.” Dedi.
Yetkili, “Bu kuruluşlara yönelik saldırılar için DNS tabanlı C2, özellikle dahili ağlardan internete diğer giden ağ erişiminin engellendiği durumlarda, saldırganlar için etkili bir teknik olabilir.”
O’Shannessy, bu hafta yayınlanan araştırmanın, savunucuların yeteneklerinin önemli bir parçası olarak DNS tabanlı trafik formlarını izlediklerini sağladıkları için bir hatırlatma olduğunu söyledi.