主要内容
黑客将恶意软件藏匿在大多数防御手段难以触及的地方——域名系统(DNS)记录内部,这些记录将域名映射到相应的数字 IP 地址。这种做法允许恶意脚本和早期恶意软件获取二进制文件,而无需从可疑网站下载或附加到电子邮件中,因为后者经常被杀毒软件隔离。
因为 DNS 查找的流量通常未被许多安全工具监控,而网络和电子邮件流量经常受到密切审查,DNS 流量在很大程度上是这些防御的盲点。DomainTools 的研究人员周二表示,他们最近发现这种技巧被用于托管“笑话屏幕伴侣”的恶意二进制文件,这是一种干扰计算机正常和安全功能的恶意软件。
该文件从二进制格式转换为十六进制,十六进制是一种使用数字 0 到 9 和字母 A 到 F 以紧凑字符组合表示二进制值的编码方案。十六进制表示被分成数百个块,每个块都藏匿在 whitetreecollective[.]com 不同子域的 DNS 记录中,具体位于 TXT 记录中,TXT 记录是 DNS 记录中能够存储任意文本的部分。
攻击者在进入受保护网络后,可以使用看似无害的一系列 DNS 请求检索每个块,重新组装它们,然后将其转换回二进制格式。随着加密形式的 IP 查找(称为 DOH(DNS over HTTPS)和 DOT(DNS over TLS))的采用,难度可能会增加。
研究人员近十年来一直知道威胁行为者有时会使用 DNS 记录来托管恶意 PowerShell 脚本,DomainTools 还发现了这种技术在 15392.484f5fa5d2.dnsm.in.drsmitty[.]com 域的 TXT 记录中的使用。最近在一篇博客文章中描述的十六进制方法并不广为人知。坎贝尔表示,他最近发现 DNS 记录包含用于通过提示注入攻击技术攻击 AI 聊天机器人的文本。