Cybercriminelen gebruiken steeds geavanceerdere methodes om traditionele beveiligingsmaatregelen te omzeilen. Een recente ontdekking toont aan hoe het domeinnaamsysteem (DNS), oorspronkelijk ontworpen om domeinnamen aan IP-adressen te koppelen, misbruikt wordt als ongebruikelijk en moeilijk te detecteren opslagmedium voor malware.
Door kwaadaardige code op te splitsen in kleine fragmenten en deze te verbergen in DNS TXT-records, slagen aanvallers erin malware op afstand op te slaan en op te halen via een communicatiekanaal dat zelden volledig wordt gecontroleerd. Deze techniek maakt gebruik van reguliere DNS-verzoeken, wat het bijzonder lastig maakt voor traditionele beveiligingsoplossingen om het malafide gedrag te herkennen.
Techniek achter de aanval
De methode is relatief eenvoudig maar uiterst effectief. Het kwaadaardige bestand – vaak een uitvoerbare binary of script – wordt eerst vertaald naar een hexadecimale vorm. Vervolgens wordt deze hex-data opgesplitst in kleine segmenten en ondergebracht in de TXT-records van diverse subdomeinen. Door deze subdomeinen via standaard DNS-verzoeken op te roepen, worden de fragmenten opgehaald, opnieuw samengevoegd en omgezet naar de oorspronkelijke kwaadaardige inhoud.
Omdat DNS-verkeer meestal als “vertrouwd” wordt beschouwd en vaak niet grondig wordt geanalyseerd, vormt deze aanpak een ernstige blinde vlek in het beveiligingslandschap.
Versleutelde DNS verergert detectie
De situatie wordt complexer door het toenemende gebruik van versleutelde DNS-protocollen, zoals DNS over HTTPS (DoH) en DNS over TLS (DoT). Deze technieken beschermen de inhoud van DNS-verzoeken tegen afluisteren, maar beperken tegelijkertijd de zichtbaarheid voor netwerkbeheerders en beveiligingstools. Hierdoor is het voor organisaties veel moeilijker om verdachte DNS-activiteiten te onderscheiden van legitiem verkeer – zelfs wanneer zij gebruikmaken van interne resolvers.
Brede inzetbaarheid
Onderzoekers kwamen ook andere varianten tegen van deze aanpak. In sommige gevallen werden PowerShell-scripts via TXT-records verspreid, die fungeerden als zogeheten stagers: kleine loader-scripts die bij uitvoering aanvullende malware binnenhalen van andere domeinen. Dergelijke stagers maken vaak deel uit van complexe command-and-control (C2) infrastructuren zoals Covenant. Pas nadat een lokaal proces het script uitvoert, wordt het schadelijke gedrag geactiveerd.
Een opvallende vondst was het gebruik van DNS-records voor het uitvoeren van zogenaamde prompt-injecties, gericht op AI-systemen zoals chatbots. Door vooraf geïnjecteerde instructies te verbergen in DNS-records, kunnen aanvallers het gedrag van AI-modellen beïnvloeden zodra deze systemen de tekst analyseren. De opdrachten variëren van het manipuleren van systeemuitvoer tot instructies die kunnen leiden tot dataverlies of ongewenste acties.
DNS als dreigingsvector
Deze casus onderstreept dat DNS allang geen puur functioneel netwerkprotocol meer is, maar een potentieel gevaarlijke vector voor datadiefstal, malware-injectie en gedragsmanipulatie. Zolang zicht op DNS-verkeer ontbreekt of onvoldoende is ingericht, blijven criminelen gebruikmaken van deze digitale sluiproute. Organisaties doen er goed aan hun DNS-verkeer – inclusief TXT-records – structureel te monitoren, te loggen en te analyseren op afwijkende patronen.
De boodschap is duidelijk: DNS-verkeer verdient dezelfde waakzaamheid als elk ander netwerkprotocol. Alleen zo kan deze blinde vlek effectief worden gedicht.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack