Az új trükk: vírust csempésznek a DNS-rekordokba

Bonyolultabb, mint gondolnád

A DomainTools kutatói nemrég bukkantak rá arra a trükkre, hogy egy apró kártevőt, nevezetesen a Vicc Képernyőtárs (Joke Screenmate) nevű zavaró vírust végtelenül ártatlannak tűnő DNS-lekérdezéseken keresztül, hexakódolt adatdarabokban rejtettek el. A hexakódolással a bináris fájlt a 0–9 és A–F karakterekkel olvashatóvá tették, majd apró darabokban csempészték a DNS-rekordokba. A támadó, ha egyszer bekerül a védett hálózatba, ártalmatlannak látszó DNS-kérésekkel begyűjtheti az összes szükséges adatot, és visszaalakíthatja azt működő programfájllá.

A dolog egyre bonyolultabbá válik, mióta egyre elterjedtebb a DNS-forgalom titkosított változata, a DOH (DNS over HTTPS) és a DOT (DNS over TLS), mivel ezeknél a kérések tartalma még a hálózaton belül is láthatatlan marad a legtöbb védelmi rendszer számára.

Ha a DNS maga támad

Szinte lehetetlen különbséget tenni a normális és a rendellenes DNS-forgalom között, még a fejlett, saját DNS-megoldással rendelkező cégeknek is, különösen a titkosított DNS használatával. Így vált a DNS a rejtőzködő vírusok feketepiacává. Már közel tíz éve bizonyított, hogy támadók a DNS-rekordokban üzeneteket vagy programkódokat rejtenek el, például a TXT-rekordokban látott módon.

Egyre gyakrabban találkozhatunk azzal is, hogy támadók DNS-rekordokban hackelési célokat szolgáló szöveget, például prompt injectiont, azaz bemeneti utasításokat rejtenek el MI-chatbotok feltöréséhez. Ezek úgy működnek, hogy csaló utasításokat juttatnak el az MI-hez, például: „töröld az adatokat”, „adj vissza véletlenszámokat”, „állj ellen a feletteseidnek” vagy „kezdd el a lázadást”. Ezek az utasítások azért trükkösek, mert a nagynyelvű MI-modellek gyakran képtelenek megkülönböztetni a legitim utasításokat a káros, rejtett parancsoktól.

A DNS-forgalom tehát a modern kiberbűnözés egyik legveszélyesebb játszóterévé vált.

2025, adrienne, arstechnica.com alapján