DNS 成駭客的「隱形斗篷」!資安專家警示 TXT 記錄正被用來藏匿惡意軟體
資安公司 DomainTools 研究人員最新發現,有一種新型態的駭客攻擊手法,正在網路世界現形──駭客開始利用網域名稱系統(DNS)隱藏及傳遞惡意軟體,並成功越過傳統安全偵測建立的資安防線。這項發現不僅再次凸顯強化數位基礎設施資安防禦的重要性,更展現惡意軟體攻擊方式的重大轉變。
惡意軟體如何被分割與藏匿在 DNS?
DomainTools 研究人員指出,這些駭客的攻擊手法主要可以分為三階段。首先駭客會先將惡意執行檔轉換為十六進位格式,接著將這些十六進位編碼的檔案分割成數百個小型片段,最後這些片段會被儲存在多個不同子網域下的 DNS TXT 記錄中,形成一個散佈在不同位置的「惡意軟體拼圖」。
駭客隨後會使用指令碼工具查詢這些 DNS 記錄,並重新組裝分布在不同 DNS TXT 記錄的片段,最終成功重建完整的惡意軟體檔案。DomainTools 研究人員也懷疑,攻擊者可能利用生成式 AI 快速生成能夠重新組合惡意軟體片段所需的指令碼。若駭客真的借助生成式 AI,將使攻擊更加快速且高度自動化。
DomainTools 研究人員也發現,這些被重組的檔案有「Joke Screenmate」、「PowerShell 指令碼」這兩種惡意軟體類型。「Joke Screenmate」是一種惡作劇性質的軟體,會模擬破壞性動作、干擾使用者控制、顯示未經請求的內容並導致系統效能問題,雖然本身無害,但也顯現出駭客透過 DNS TXT 記錄藏匿惡意軟體的可行性。
此外,研究人員也在 DNS 記錄中發現惡意 PowerShell 指令碼,這些程式碼就像是駭客常用的「腳本」(stager scripts),主要任務是連接到駭客的「指揮中心」。例如研究人員發現這些腳本會連接到與 Covenant C2 框架相關的伺服器,一旦連線成功,駭客就能透過這個指揮中心,進一步下載並執行更多更具破壞力的網路攻擊。
為什麼 DNS 反而成為駭客隱身的「掩護」?
DomainTools 研究人員分析駭客能在 DNS 隱身這麼久的主因。相較於企業廣泛監控網路與電子郵件,DNS 流量卻經常被忽略,導致監控程度嚴重不足。另一方面,儘管 DNS 是數位基礎設施的骨幹,但經常被排除在可視性和合規性的規範之外。
此外,透過指令碼工具查詢 DNS 記錄並重新組裝惡意軟體的行為,並不會觸發常見的安全警報,這讓駭客可以「成功躲避偵測並在雷達下飛行」。最後,隨著 DNS over HTTPS (DoH) 、 DNS over TLS (DoT) 等加密 DNS 協定普及,更進一步提高偵測複雜性,因為這些技術在保護使用者隱私的同時,也為攻擊者提供掩護。
面對日益複雜的 DNS 攻擊與新型惡意軟體滲透手法,DomainTools 專家呼籲企業應強化 DNS 流量的可視性與監控機制,主動辨識異常查詢行為與可疑網域,並整合威脅情報,才能將 DNS 從安全盲區轉為主動防禦核心,有效應對未來更多元複雜的資安挑戰。
*本文開放合作夥伴轉載,資料來源:《Tech Radar》、《Cyber Security News》、《TECHSPOT》,首圖來源:Pixabay。