يخفي القراصنة البرمجيات الخبيثة في سجلات DNS لتجنب الكشف عنها

لقد اكتشف باحثو الأمن السيبراني تقنية اختراق جديدة وخفية، تخفي البرامج الخبيثة داخل سجلات DNS.

يستخدم المهاجمون هذه الطريقة لتجنب أدوات الأمان التقليدية عبر تضمين الأكواد الخطيرة في المناطق التي لا يتفحصها معظم الأنظمة، كما أشارت إلى ذلك لأول مرة ArsTechnica.

يعمل نظام اسم النطاق (DNS) كنظام يحول أسماء المواقع الإلكترونية إلى عناوين IP. الآن، يستخدم القراصنة DNS كحل غير تقليدي لتخزين البيانات.

اكتشف الباحثون في DomainTools أن المهاجمين يضمنون البرامج الخبيثة داخل سجلات TXT لنطاق whitetreecollective[.]com. تحتوي السجلات، التي تعمل على إثبات ملكية الموقع الإلكتروني، على العديد من القطع النصية الصغيرة التي، عند دمجها، تشكل ملفات خبيثة.

تضمنت البرامج الضارة ملفًا لـ “Joke Screenmate” ، والذي يعمل كنوع من برامج الإزعاج التي تعرقل الاستخدام العادي للكمبيوتر. قام المهاجمون بتحويل الملف إلى تنسيق سداسي عشر قبل توزيعه عبر مجموعة متنوعة من النطاقات الفرعية. يمكن لمدير الشبكة الذي يمتلك الوصول إلى النظام أن يجمع هذه الأجزاء بهدوء من خلال طلبات DNS التي تبدو غير ضارة.

“حتى المنظمات المتطورة التي لديها المحللين DNS الخاصة بها داخل الشبكة تجد صعوبة في التمييز بين حركة مرور DNS الأصلية وطلبات غير عادية، لذلك فإنها طريقة تم استخدامها من قبل للنشاط الخبيث”، كما قال إيان كامبل، مهندس عمليات الأمان الأول في DomainTools، كما ذكرته ArsTechnica.

“تساهم في هذا الانتشار الكبير ل DOH و DOT عن طريق تشفير حركة مرور DNS حتى تصل إلى المحلل، مما يعني أنك، ما لم تكن واحدة من تلك الشركات التي تقوم بعمليات التحليل داخل الشبكة، لا يمكنك حتى معرفة ما هو الطلب، ناهيك عن معرفة ما إذا كان طبيعياً أو مشبوهاً “، أضافت كامبل.

اكتشفت كامبل أن بعض سجلات DNS تعمل كمنصات لتنفيذ هجمات الحقن السريعة ضد الروبوتات المحادثة الذكية AI. تحاول هذه الأوامر المخفية خداع الروبوتات لتسريب البيانات أو عدم الامتثال للقواعد.

قالت كامبل: “كما هو الحال بالنسبة لبقية الإنترنت، يمكن أن يكون نظام الأسماء النطاقية (DNS) مكانًا غريبًا وساحرًا”.