Các nhà nghiên cứu an ninh mạng đã phát hiện ra một kỹ thuật tinh vi mà các tác nhân đe dọa đang khai thác cơ sở hạ tầng DNS để lưu trữ và phân phối mã độc một cách bí mật, biến hệ thống tên miền của internet thành một kênh phân phối và lưu trữ mã độc không chủ ý. Kỹ thuật này cho phép kẻ tấn công ẩn các tệp thực thi bên trong các bản ghi DNS TXT, tạo ra một cơ chế phân phối lén lút vượt qua các biện pháp bảo mật truyền thống.
Kỹ thuật Khai thác DNS TXT Records
Phương pháp tấn công này liên quan đến việc chia nhỏ các tệp mã độc thành nhiều đoạn, sau đó chuyển đổi chúng sang định dạng hexadecimal và lưu trữ trên nhiều bản ghi DNS TXT. Các nhà nghiên cứu bảo mật đã phân tích các bản ghi DNS được thu thập thụ động và tìm thấy bằng chứng về việc kỹ thuật này đã được sử dụng tích cực trong giai đoạn **2021-2022**. Kẻ tấn công đã nhúng các tệp thực thi hoàn chỉnh vào các mục nhập DNS tưởng chừng vô hại.
Theo phát hiện nghiên cứu, các tệp có thể được chia nhỏ và lưu trữ trong các bản ghi DNS TXT, sau đó được truy xuất thông qua các yêu cầu DNS và ghép nối lại. Cách tiếp cận này cho phép các tệp độc hại tồn tại cho đến khi các máy chủ DNS loại bỏ hoặc ghi đè các bản ghi, cung cấp khả năng lưu trữ dữ liệu trái phép trên cơ sở hạ tầng internet.
Phát hiện Thực tế và Mẫu Mã độc Cụ thể
Các nhà điều tra đã phát hiện hoạt động đáng ngờ trên nhiều tên miền, bao gồm **felix.stf.whitetreecollective[.]com**, chứa hàng trăm mục nhập subdomain, mỗi mục lưu trữ các đoạn mã độc khác nhau. Bằng cách phân tích các mẫu hexadecimal và tái hợp dữ liệu bị phân mảnh, các nhà nghiên cứu đã tái tạo thành công các tệp thực thi hoàn chỉnh được xác định là mã độc **Joke Screenmate**.
Các mẫu mã độc này, với các giá trị **SHA256 hash** là **7ff0ecf2953b8662ede1577e330a514f09992c18aa3c14ed77cf2ffc115b0866** và **e7b22ba761a7f853b63933ffe517cc61596710dbdee992a429ac1bc8d04186a1**, là phần mềm gây rối được thiết kế để làm gián đoạn hệ thống người dùng thông qua các thông báo lỗi giả mạo, các ứng dụng khó đóng và các hình ảnh động tiêu tốn tài nguyên.
Kịch bản Khai thác Nâng cao và Cơ sở Hạ tầng Command and Control (C2)
Ngoài phần mềm gây rối đơn giản, các nhà nghiên cứu còn phát hiện ra những bản ghi DNS TXT chứa các **script PowerShell** được mã hóa, hoạt động như các stager cho các nhiễm mã độc phức tạp hơn. Các script này kết nối đến các máy chủ Command and Control (C2), đặc biệt nhắm mục tiêu vào cơ sở hạ tầng **Covenant C2** thông qua các endpoint mặc định như **`/api/v1/nps/payload/stage1`**.
Tên miền **drsmitty[.]com** được xác định là nơi lưu trữ nhiều lệnh độc hại trong các bản ghi DNS của nó, với các kết nối được truy vết ngược về tên miền C2 **cspg[.]pw**. Phân tích lịch sử cho thấy kỹ thuật này đã được sử dụng ít nhất từ **năm 2017**, cho thấy một chiến dịch dài hạn của các tác nhân đe dọa.
Dấu hiệu Nhận biết (Indicators of Compromise – IOCs)
Dưới đây là các Dấu hiệu Nhận biết (IOCs) liên quan đến kỹ thuật tấn công và các chiến dịch được đề cập:
- Tên miền:
- felix.stf.whitetreecollective[.]com
- drsmitty[.]com
- cspg[.]pw (C2 domain)
- SHA256 Hashes của Malware (Joke Screenmate):
- 7ff0ecf2953b8662ede1577e330a514f09992c18aa3c14ed77cf2ffc115b0866
- e7b22ba761a7f853b63933ffe517cc61596710dbdee992a429ac1bc8d04186a1
- Endpoint C2 (Covenant C2):
- /api/v1/nps/payload/stage1
Thách thức và Biện pháp Phòng ngừa
Phương pháp phân phối mã độc dựa trên DNS này đặt ra những thách thức đáng kể cho các chuyên gia an ninh mạng, vì nó khai thác cơ sở hạ tầng internet hợp pháp để tránh bị phát hiện. Kỹ thuật này chứng minh cách kẻ tấn công liên tục phát triển các phương pháp của chúng, tìm ra những cách mới để lạm dụng các hệ thống đáng tin cậy cho mục đích độc hại.
Để đối phó với mối đe dọa này, các tổ chức nên triển khai các giải pháp giám sát và lọc DNS toàn diện nhằm phát hiện các mẫu bản ghi TXT bất thường và các hành vi tên miền đáng ngờ. Việc phát hiện này nhấn mạnh tầm quan trọng của việc coi lưu lượng DNS là một vector tấn công tiềm năng, thay vì chỉ là chức năng nền của internet.
