DomainTools сообщил, что кто-то нашел способ встроить вредоносное ПО в записи системы доменных имен (DNS), а это значит, что у нас появился новый повод винить систему, ответственную практически за все сетевые проблемы, с которыми сталкивается большинство людей.
Для тех, кто еще не знает, DNS — это система, которая позволяет ввести в адресной строке браузера что-то вроде «tomshardware.com» и, в идеале, перейти на IP-адрес, связанный с нашим сайтом. Без нее нам пришлось бы вводить эти IP-адреса вручную — без гарантии, что IP-адрес, который работал вчера, будет работать и сегодня. Почему? Потому что самый распространенный интернет-протокол, IPv4, не учитывал огромное количество устройств, которые мы все хотим подключить к Интернету, а его преемник, IPv6, все еще не поддерживается так, как должен.
Поэтому у нас есть DNS. Процесс выглядит примерно так: веб-сайт использует записи DNS, чтобы указать, какой IP-адрес должен быть связан с его доменным именем, браузеры запрашивают эти записи у провайдеров DNS, когда кто-то просит посетить веб-сайт, и затем, если все идет хорошо, сайт и его посетитель соединяются благодаря чудесам Интернета. (Под этим я подразумеваю набор взаимосвязанных протоколов и сервисов, которые гораздо сложнее, чем я описал в этом обзоре). DNS повсеместно распространен, а это значит, что было лишь вопросом времени, когда кто-то найдет способ злоупотребить им.
Первый шаг к использованию DNS не по назначению был сделан, когда Бен Картрайт-Кокс описал способ создания файловой системы на базе DNS. Эта система должна была ограничиваться простым текстом, но в июне Cyber Security News сообщило, что хакеры скрывали изображения в записях DNS, что побудило DomainTools начать «поиск в начале записей DNS RDATA TXT магических байтов файлов в шестнадцатеричном формате для широкого спектра исполняемых файлов и распространенных типов файлов». И оно их нашло! А это значит, что нужно дать больше объяснений.
Большинство из нас определяет тип файла по расширению, включенному в конец его имени: .mp3 для аудиофайлов, .txt для простого текста и так далее. Но в большинстве случаев в расширении нет ничего особенного — именно поэтому вы не можете, например, превратить JPEG в PNG, просто изменив его имя с «example.jpg» на «example.png» в файловом менеджере. (Именно поэтому некоторые файловые менеджеры по умолчанию скрывают расширения имен файлов.) Вместо этого файл сообщает о своем типе с помощью «магических байтов файла», встроенных в него, которые программы затем используют, чтобы понять, как им следует обрабатывать файл.
Теперь, когда мы установили, что компьютеры прокляты, особенно когда мы ожидаем, что они будут общаться друг с другом через кучу промежуточных компьютеров, которые мы делаем вид, что не существуют, давайте продолжим с открытием DomainTools.
Компания заявила, что «злоумышленник использовал записи DNS TXT для хранения и, возможно, доставки вредоносного ПО [Joke/ScreenMate] и стагеров для вероятных заражений вредоносным ПО Covenant C2» в период с 2021 по 2022 год. DomainTools описала это вредоносное ПО как «программу для розыгрышей», которая может использоваться для вызова проблем с производительностью системы; «непрерывного потока шуток, изображений или анимаций, которые могут отвлекать внимание и которые трудно остановить»; и «отображения поддельных сообщений об ошибках, вымышленных предупреждений о вирусах или анимаций, имитирующих удаление системных файлов», среди прочего, на зараженных устройствах.
Было бы интересно посмотреть, начнут ли больше хакеров использовать DNS таким образом, особенно с учетом того, что эти отчеты продемонстрировали относительную легкость, с которой система может быть использована для сокрытия нетекстовой информации, развертывания вредоносных программ и т. д.
Оригинал
Уникальность
