Хакери знайшли новий спосіб приховати шкідливе ПЗ — що виявили дослідники 

Дослідники виявили нову техніку, яка дозволяє хакерам маскувати шкідливе програмне забезпечення в DNS-записах. Цей метод уникає більшості традиційних засобів захисту — і навіть може бути використаний для атак на ШІ-чатботів. Про це пише Wired.

Що сталося

Дослідники з компанії DomainTools виявили новий спосіб, який використовують хакери для приховування шкідливого програмного забезпечення всередині DNS-записів — фундаментальної частини інтернету, яка відповідає за перетворення доменних імен у числові IP-адреси.

• Зловмисники кодують шкідливий файл Joke Screenmate у шістнадцятковий формат — спеціальне представлення бінарних даних у вигляді символів від 0 до 9 та літер від A до F.
• Потім цей код розбивають на сотні фрагментів і ховають у DNS-записах на кшалт TXT різних піддоменів домену whitetreecollective[.]com.
• TXT-записи часто використовуються для підтвердження власності на сайти, але можуть зберігати будь-який текст, тож вони стали прихистком для шкідливих даних.

Якщо хакеру вдається проникнути в захищену мережу, він може за допомогою серії звичайних на вигляд DNS-запитів отримати ці фрагменти, зібрати їх у повний шістнадцятковий код і перетворити назад у оригінальний бінарний файл, запускаючи шкідливе ПЗ.

Чому це цікаво

Ця тактика працює, бо DNS-трафік часто не перевіряють так ретельно, як інший інтернет-трафік, наприклад, вебсторінки або електронну пошту. Особливо ускладнює захист поширення нових протоколів, які шифрують DNS-запити — DNS over HTTPS (DoH) і DNS over TLS (DoT). Шифрування робить неможливим розпізнавання змісту DNS-запитів без доступу до спеціальних інструментів, тому багато організацій не можуть відрізнити легітимний DNS-трафік від потенційно шкідливого.

Старший інженер з безпеки DomainTools Ян Кемпбелл пояснює, що навіть великі компанії з власними DNS-резолверами мають труднощі з виявленням запитів через цей фактор.

Крім того, дослідники помітили, що хакери почали використовувати DNS-записи не лише для доставки шкідливого коду, а й для атак на чат-боти зі штучним інтелектом. Виявлені DNS-записи містять спеціальні підказки (промпти), які мають на меті обманути мовні моделі через техніку промпт-інʼєкції — впровадження зловмисних інструкцій у контент, що аналізує чат-бот.