Интересно, что проклятия имеют свойство распространяться. В данном случае хакеры, использующие систему доменных имен (DNS) для распространения вредоносных программ, вдохновили Майкла «B'ad Samurai» Баннера на создание DNS Mad Libs, которая использует ту же технику, что и недавно обнаруженный хак для распространения вредоносных программ через DNS, чтобы предоставить распределенную версию популярной словесной игры.
«Этот проект вдохновлен предыдущими исследованиями по использованию записей DNS TXT для хранения и извлечения данных, которые могут быть использованы для различных целей, включая распространение вредоносного ПО и управление», — сказал Баннер в README проекта. «Обычно это делается путем встраивания вредоносных нагрузок в записи DNS, которые затем могут быть разрешены скомпрометированными системами.
В данном случае мы используем публичные конечные точки API через HTTPS для извлечения данных из надежного сервиса, скрывая истинный источник данных».
В моем отчете о вредоносном ПО с поддержкой DNS содержится более [прилагательное] описание системы; суть в том, что оно преобразует доменные имена («tomshardware.com») в IP-адреса (199.232.194.114), чтобы сделать просмотр веб-страниц более удобным. Но в этом объяснении был упущен важный аспект DNS: возможность устанавливать время жизни (TTL) для его записей.
Доменное имя редко ассоциируется с конкретным IP-адресом навсегда — иногда оно меняется по решению оператора веб-сайта, например, при переходе на другой хост, а иногда оно просто ассоциируется с динамическим IP-адресом, который меняется по прихоти провайдера интернет-услуг. DNS должен быть способен обрабатывать любой из этих случаев.
Именно здесь и приходит на помощь TTL. Этот параметр фактически сообщает провайдерам DNS, как часто необходимо проверять, не обновлена ли запись. Запись, которая, как ожидается, будет меняться на полурегулярной основе, получит короткий TTL; запись, которая, как ожидается, будет меняться реже, получит длинный TTL. (И когда эти ожидания не оправдываются, вот тогда-то и возникают проблемы).
DNS Mad Libs, как и приведенный выше пример со встроенным вредоносным ПО, использует возможность устанавливать длительный TTL для записей DNS, чтобы хранить больше информации, чем ожидали разработчики системы. Таким образом, для настройки нового mad-lib не требуется выделенный сервер — нужна только серия записей DNS для домена, настроенного в соответствии с интерфейсом игры.
Оригинал
Уникальность
