Các nhà nghiên cứu bảo mật đã phát hiện ra một vector tấn công tinh vi mới biến hệ thống tên miền nền tảng của internet thành cơ chế phân phối bí mật cho phần mềm độc hại. Khám phá này làm nổi bật cách thức tội phạm mạng đang khai thác ngay cả những hạ tầng mạng cơ bản nhất để vượt qua các biện pháp bảo mật truyền thống.
Bản ghi DNS trở thành nơi ẩn náu bất ngờ cho phần mềm độc hại
Hệ thống tên miền, vốn dịch các địa chỉ website có thể đọc được sang địa chỉ IP, đã trở thành nơi ẩn náu bất ngờ cho mã độc hại. Các nhà nghiên cứu từ DomainTools đã phát hiện rằng kẻ tấn công đang nhúng các file thực thi trực tiếp vào trong bản ghi DNS TXT, vốn thường được sử dụng cho các mục đích hợp pháp như xác minh tên miền. Kỹ thuật này khai thác thực tế là bản ghi TXT có thể lưu trữ dữ liệu văn bản tùy ý, khiến chúng trở thành kênh bí mật lý tưởng cho phần mềm độc hại được mã hóa.
Cuộc điều tra bắt đầu sau khi các báo cáo trước đó nổi lên về việc hacker ẩn giấu hình ảnh trong bản ghi DNS. DomainTools đã mở rộng tìm kiếm để tìm các byte file magic - những định danh thập lục phân đánh dấu phần đầu của các file thực thi. Việc quét có hệ thống của họ đã tiết lộ nhiều trường hợp các đoạn phần mềm độc hại được phân phối trên hàng trăm subdomain thuộc cùng một tên miền.
Thách thức trong việc phát hiện:
- Mã hóa DNS over HTTPS và DNS over TLS che giấu lưu lượng độc hại
- Các công cụ bảo mật truyền thống không thể kiểm tra các yêu cầu DNS được mã hóa
- Phương pháp tiếp cận phân mảnh khiến việc nhận dạng mẫu trở nên khó khăn
- Phát hiện magic file bytes đòi hỏi các kỹ thuật quét chuyên biệt
Tái tạo phần mềm độc hại hỗ trợ AI
Khía cạnh đáng lo ngại nhất của cuộc tấn công này liên quan đến việc sử dụng trí tuệ nhân tạo để tự động hóa quá trình lắp ráp phần mềm độc hại. Các nhà nghiên cứu phát hiện rằng kẻ tấn công đã chia nhỏ các file nhị phân độc hại thành hàng trăm đoạn được mã hóa thập lục phân, mỗi đoạn được lưu trữ trong các subdomain DNS riêng biệt. Sau đó, tội phạm mạng đã tận dụng các dịch vụ AI tạo sinh để tạo ra các script có khả năng tự động tái lắp ráp những đoạn này thành phần mềm độc hại hoạt động được.
Kỹ thuật này thể hiện mức độ tinh vi mới trong việc phân phối phần mềm độc hại. Bằng cách phân mảnh mã độc hại trên nhiều bản ghi DNS, kẻ tấn công khiến việc phát hiện trở nên khó khăn hơn đáng kể đối với các công cụ bảo mật truyền thống. File nhị phân được tái tạo khớp với các hash SHA-256 đã biết của phần mềm độc hại Joke Screenmate, có thể can thiệp vào hiệu suất hệ thống và hiển thị thông báo lỗi giả cho người dùng.
Phương pháp tấn công:
- Phần mềm độc hại được phân mảnh thành hàng trăm đoạn được mã hóa thập lục phân
- Mỗi đoạn được lưu trữ trong các bản ghi DNS TXT riêng biệt trên các tên miền phụ
- Các script được tạo bởi AI được sử dụng để tái lắp ráp các đoạn thành phần mềm độc hại hoạt động
- Cơ sở hạ tầng chỉ huy và điều khiển được nhúng trong các bản ghi DNS
 |
|---|
| Hình ảnh minh họa cơ sở hạ tầng mạng phức tạp có thể liên quan đến việc phân phối và lắp ráp phần mềm độc hại một cách bí mật thông qua DNS |
Phát hiện hạ tầng chỉ huy và điều khiển
Ngoài phần mềm độc hại được phân mảnh, các nhà nghiên cứu DomainTools còn phát hiện thêm các mối đe dọa được nhúng trong hạ tầng DNS. Họ đã khám phá các script PowerShell được mã hóa ẩn giấu trong bản ghi DNS kết nối với các máy chủ chỉ huy và điều khiển liên quan đến framework Covenant. Bộ công cụ hậu khai thác hợp pháp này thường xuyên được các tác nhân đe dọa tái sử dụng để thiết lập quyền truy cập bền vững vào các hệ thống bị xâm phạm.
Sự hiện diện của những kết nối chỉ huy và điều khiển này cho thấy hệ thống phân phối phần mềm độc hại dựa trên DNS có thể đóng vai trò là một phần của chuỗi tấn công đa giai đoạn lớn hơn. Một khi payload ban đầu được phân phối và thực thi, các script PowerShell có thể tạo điều kiện cho việc tải xuống các thành phần độc hại bổ sung.
Các loại Malware được phát hiện:
- Malware Joke/ScreenMate (khung thời gian 2021-2022)
- Các script PowerShell kết nối với framework C2 Covenant
- Các file thực thi với mã băm SHA-256 có thể nhận dạng được
Công nghệ mã hóa làm phức tạp việc phát hiện
Việc áp dụng ngày càng rộng rãi các giao thức DNS được mã hóa đặt ra những thách thức bổ sung cho các chuyên gia bảo mật. DNS over HTTPS và DNS over TLS, mặc dù cải thiện quyền riêng tư và bảo mật trong các trường hợp sử dụng hợp pháp, cũng cung cấp sự che chở cho các hoạt động độc hại. Ian Campbell từ DomainTools nhấn mạnh rằng những công nghệ mã hóa này khiến việc kiểm tra lưu lượng DNS để tìm nội dung đáng ngờ trở nên gần như không thể đối với các tổ chức.
Trừ khi các tổ chức triển khai giải quyết DNS trong mạng của riêng họ, họ không thể kiểm tra các yêu cầu DNS thực tế hoặc xác định liệu chúng có chứa payload độc hại hay không. Điểm mù này tạo ra cơ hội hấp dẫn cho tội phạm mạng buôn lậu phần mềm độc hại qua hầu hết các hệ thống phát hiện.
Tác động đối với bảo mật mạng
Khám phá này đại diện cho một sự tiến hóa đáng kể trong phương pháp tấn công, chứng minh rằng không có thành phần nào của hạ tầng internet quá tầm thường để khai thác. Bản chất phổ biến của hệ thống DNS và vai trò thiết yếu trong kết nối internet khiến nó trở thành vector lý tưởng cho việc phân phối phần mềm độc hại một cách lén lút. Các nhóm bảo mật giờ đây phải xem xét lưu lượng DNS như một vector đe dọa tiềm tàng và triển khai các cơ chế giám sát và lọc phù hợp.
Việc sử dụng AI để tự động hóa quá trình lắp ráp phần mềm độc hại cũng báo hiệu xu hướng rộng lớn hơn hướng tới các kỹ thuật tấn công tinh vi và tự động hóa hơn. Khi các công cụ trí tuệ nhân tạo trở nên dễ tiếp cận hơn, tội phạm mạng có khả năng sẽ tích hợp chúng vào nhiều khía cạnh khác nhau trong hoạt động của họ, từ trinh sát ban đầu đến phân phối payload và các hoạt động hậu khai thác.