ჰაკერები „ბრმა წერტილს“ იყენებენ და მავნე პროგრამას DNS ჩანაწერებში მალავენ

ეს ტექნიკა ინტერნეტის DNS-ს ფაილების შენახვის არატრადიციულ სისტემად აქცევს. 

ჰაკერები მავნე პროგრამას ისეთ ადგილას ინახავენ, რომელიც დაცვის მექანიზმების უმეტესობისთვის დიდწილად მიუწვდომელია — დომენური სახელების სისტემის (DNS) ჩანაწერებში, რომლებიც დომენურ სახელებს მათ შესაბამის ციფრულ IP მისამართებთან აკავშირებს. 

ეს პრაქტიკა მავნე სკრიპტებსა და საწყისი ეტაპის მავნე პროგრამებს საშუალებას აძლევს, მოიპოვონ ბინარული ფაილები ისე, რომ არ დასჭირდეთ მათი ჩამოტვირთვა საეჭვო საიტებიდან ან ელფოსტაზე მიბმა, სადაც ისინი ხშირად ანტივირუსული პროგრამის მიერ კარანტინში თავსდებიან. ეს იმიტომ ხდება, რომ DNS მოთხოვნების ტრაფიკი ხშირად უსაფრთხოების ბევრი ინსტრუმენტის მიერ დიდწილად უკონტროლოდ რჩება. მაშინ, როდესაც ვებ და ელფოსტის ტრაფიკი ხშირად მკაცრად კონტროლდება, DNS ტრაფიკი ასეთი დაცვისთვის დიდწილად „ბრმა წერტილს“ წარმოადგენს. 

 უცნაური და მომაჯადოებელი ადგილი 

DomainTools-ის მკვლევრებმა სამშაბათს განაცხადეს, რომ მათ ცოტა ხნის წინ შენიშნეს ეს ხრიკი, რომელიც გამოიყენებოდა Joke Screenmate-ის, შემაწუხებელი მავნე პროგრამის, მავნე ბინარული ფაილის ჰოსტინგისთვის. ფაილი ბინარული ფორმატიდან თექვსმეტობით ფორმატში გადაიყვანეს. შემდეგ, თექვსმეტობითი გამოსახულება ასობით ნაწილად დაიყო. თითოეული ნაწილი განთავსდა დომენ whitetreecollective[.]com-ის სხვადასხვა ქვედომენის DNS ჩანაწერში. კონკრეტულად, ნაწილები მოთავსდა TXT ჩანაწერში, DNS ჩანაწერის ნაწილში, რომელსაც ნებისმიერი ტექსტის შენახვა შეუძლია. 

თავდამსხმელს, რომელმაც დაცულ ქსელში შეღწევა მოახერხა, შემდეგ შეეძლო თითოეული ნაწილის მოპოვება უწყინარი შესახედაობის DNS მოთხოვნების სერიის გამოყენებით, მათი ხელახლა აწყობა და შემდეგ ბინარულ ფორმატში დაბრუნება. ეს ტექნიკა მავნე პროგრამის ისეთი ტრაფიკის საშუალებით მოპოვების საშუალებას იძლევა, რომლის მკაცრი მონიტორინგიც რთულია. IP მოთხოვნების დაშიფრული ფორმების — ცნობილი როგორც DOH (DNS over HTTPS) და DOT (DNS over TLS) — გავრცელებასთან ერთად, ეს სირთულე, სავარაუდოდ, გაიზრდება. 

„იმ დახვეწილ ორგანიზაციებსაც კი, რომლებსაც საკუთარი შიდა ქსელის DNS რეზოლვერები აქვთ, უჭირთ ავთენტური DNS ტრაფიკის ანომალიური მოთხოვნებისგან გარჩევა, ასე რომ, ეს არის გზა, რომელიც ადრეც გამოყენებულა მავნე საქმიანობისთვის“, — წერს Ian Campbell, DomainTools-ის უფროსი უსაფრთხოების ოპერაციების ინჟინერი. მკვლევრებმა თითქმის ათი წელია იციან, რომ ბოროტმოქმედები ზოგჯერ DNS ჩანაწერებს მავნე PowerShell სკრიპტების ჰოსტინგისთვის იყენებენ. Campbell-მა ასევე აღმოაჩინა, რომ DNS ჩანაწერები გამოიყენებოდა ტექსტების შესანახად AI ჩატბოტებზე თავდასხმისთვის, ექსპლოიტის ტექნიკის საშუალებით, რომელიც ცნობილია როგორც პრომპტის ინექციები (prompt injections). 

ზოგიერთი პრომპტი, რომელიც Campbell-მა იპოვა, იყო: 

Campbell-მა დაასკვნა: „დანარჩენი ინტერნეტის მსგავსად, DNS შეიძლება უცნაური და მომაჯადოებელი ადგილი იყოს“. 

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ უფლება განათავსონ როგორც ვაკანსიები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.