Exploiter le service DNS pour transformer les logiciels malveillants en une menace vraiment invisible
Wtf ?! Les chercheurs en sécurité et les pirates éthiques découvrent des endroits nouveaux et inattendus où le code malveillant peut être caché dans l’infrastructure informatique. Même le système de noms de domaine apparemment inoffensif (DNS) – le système de dénomination fondamental pour tous les appareils connectés à Internet – peut, en théorie, être exploité par des cybercriminels intelligents ou des attaquants parrainés par l’État. Cela souligne une tendance croissante: aucune partie de la pile numérique n’est trop banale pour devenir un vecteur pour des menaces sophistiquées.
Cacheter des ransomwares à l’intérieur d’un processeur était étrange, mais maintenant, les attaquants va encore plus profondément et plus large dans tous les réseaux. Dans une récente découverte, les chercheurs en sécurité ont révélé qu’un malware malveillant avait été intégré directement dans le système de noms de domaine, contournant efficacement presque tous les outils de sécurité avancés.
Présentés par des rapports antérieurs de quelqu’un qui cache des images dans les enregistrements DNS, les chercheurs de Domaintools ont commencé à parcourir les enregistrements DNS TT pour les signes de données binaires ou non standard. Les enregistrements TXT, qui peuvent stocker du texte arbitraire et sont souvent utilisés pour vérifier la propriété du domaine, s’est avéré être un canal secret étonnamment efficace. L’équipe de DT a constaté qu’ils pouvaient coder des échantillons de logiciels malveillants dans ces enregistrements en convertissant les binaires exécutables en chaînes hexadécimales.
En creusant plus profondément, les chercheurs ont recherché des « octets magiques » connus – identificateurs utilisés dans divers en-têtes de fichiers exécutables. Ils ont trouvé plusieurs instances d’un en-tête .exe familier intégré à différents sous-domaines appartenant au même domaine, chacun contenant des valeurs d’enregistrement TXT distinctes. Au total, des centaines de sous-domaines semblaient participer à ce schéma de distribution de logiciels malveillants étrange et furtif.
Les analystes de Domaintools soupçonnent que l’attaquant a brisé un dossier binaire malveillant en centaines de fragments codés par hexadécimal, chacun stocké dans un sous-domaine DNS différent. Selon les chercheurs, l’adversaire a ensuite utilisé un service d’IA génératif pour générer rapidement un script capable de remonter les fragments. Une fois reconstruite, le binaire correspondait à deux hachages SHA-256 connus de la coéquipier des blagues, un logiciel malveillant en farce qui imite le comportement destructeur et peut interférer avec les fonctions système normales et le contrôle des utilisateurs.
Mais ce n’était pas tout. En utilisant la même technique d’investigation, l’équipe a également découvert un script PowerShell codé intégré dans les enregistrements DNS. Ce script connecté à un serveur de commande et de contrôle lié au framework d’alliance, une boîte à outils post-exploitation légitime souvent réutilisée par les acteurs de la menace. La connexion pourrait faciliter le téléchargement de charges utiles supplémentaires, ce qui en fait une composante potentielle d’une chaîne d’attaque plus grande et plus sophistiquée.
Dans une déclaration de courrier électronique, l’ingénieur de Domaintools, Ian Campbell, a souligné le risque croissant de livraison de logiciels malveillants basée sur DNS, d’autant plus que les technologies de chiffrement comme le DNS sur les HTTP et les DNS sur TLS se répandaient plus.
« À moins que vous ne soyez une de ces entreprises qui font votre propre résolution DNS en réseau, vous ne pouvez même pas dire quelle est la demande, pas moins si elle est normale ou suspecte », a déclaré Campbell.
En tirant parti de ces protocoles DNS cryptés, les cybercriminels peuvent faire passer efficacement les charges utiles au-delà de la plupart des systèmes de détection, ce qui fait du DNS un vecteur de plus en plus attractif pour la distribution de logiciels malveillants furtifs.
