Хакеры используют DNS-записи для скрытой загрузки вредоносных файлов и атак на ИИ

Хакеры начали прятать вредоносное ПО внутри DNS‑записей. Эта техника использует DNS как необычное хранилище файлов. Исследователи из DomainTools сообщили, что недавно зафиксировали такой случай. Вредоносный бинарный файл был замаскирован в DNS‑записях домена whitetreecollective[.]com.

Файл относился к вредоносной программе Joke Screenmate. Это ВПО мешает нормальной работе компьютера. Сначала файл был переведён в шестнадцатеричный формат, затем разбит на сотни фрагментов. Каждый фрагмент поместили в TXT‑запись отдельного поддомена. Эти записи обычно используют для подтверждения права владения сайтом, например, при настройке Google Workspace.

Если злоумышленник получил доступ к защищённой сети, он мог бы с помощью обычных DNS-запросов получить все фрагменты, собрать их и восстановить исходный файл. Такой способ обхода защиты остаётся малозаметным. DNS-трафик редко проверяется так же тщательно, как трафик веб-сайтов или электронной почты. Использование зашифрованных протоколов DNS, таких как DOH и DOT, делает задачу обнаружения ещё сложнее.

Старший инженер по безопасности из DomainTools Иэн Кэмпбелл пояснил: даже крупные организации с собственными DNS‑серверами часто не могут отличить обычный трафик от подозрительного. Протоколы DOH и DOT шифруют DNS‑запросы до момента их обработки. Это значит, что если организация не контролирует свои DNS‑запросы внутри сети, то она не видит содержимое запроса.

Метод внедрения вредоносных скриптов через DNS известен специалистам уже почти 10 лет. Ранее через TXT‑записи распространялись вредоносные PowerShell‑скрипты. DomainTools обнаружила такой случай на домене 15392.484f5fa5d2.dnsm.in.drsmitty[.]com. Однако новый способ с использованием шестнадцатеричного кода пока применялся редко.

Кэмпбелл