Los piratas informáticos están escondiendo malware en un lugar que está en gran medida fuera del alcance de la mayoría de las defensas: registros del sistema de nombres de dominio (DNS) en el interior que asignan los nombres de dominio a sus direcciones IP numéricas correspondientes. La práctica permite que los scripts maliciosos y el malware de la etapa temprana obtengan archivos binarios sin tener que descargarlos de sitios sospechosos o adjuntarlos a correos electrónicos, donde con frecuencia se ponen en cuarentena por el software antivirus. Esto se debe a que el tráfico para las búsquedas de DNS a menudo no tiene monitoreo por muchas herramientas de seguridad. Mientras que el tráfico web y de correo electrónico a menudo se analiza de cerca, el tráfico DNS representa en gran medida un punto ciego para tales defensas. Un lugar extraño y encantador investigadores de Domainteols dijo el martes que recientemente vieron el truco que se usaba para organizar un binario malicioso para Boke Screenmate, una tensión de malware molesto que interfiere con funciones normales y seguras de una computadora. El archivo se convirtió del formato binario en hexadecimal, un esquema de codificación que usa los dígitos 0 a 9 y las letras A a F para representar valores binarios en una combinación compacta de caracteres. La representación hexadecimal se dividió en cientos de trozos. Cada fragmento fue escondido dentro del registro de DNS de un subdominio diferente del dominio WhitetreCollective[.]com. Específicamente, los fragmentos se colocaron dentro del registro TXT, una parte de un registro DNS capaz de almacenar cualquier texto arbitrario. Los registros TXT a menudo se usan para demostrar la propiedad de un sitio al configurar servicios como Google Workspace. Un atacante que logró meter un dedo del pie en una red protegida podría recuperar cada fragmento utilizando una serie de solicitudes de DNS de aspecto inocuo, volver a montarlas y luego convertirlas en formato binario. La técnica permite que el malware se recupere a través del tráfico que puede ser difícil de monitorear de cerca. Como formas encriptadas de búsqueda de IP, conocidas como DOH (DNS sobre HTTPS) y DOT (DNS sobre TLS), la adopción gana, la dificultad probablemente crecerá.
Deja una respuesta