DNS като оръжие: Защо TXT записите в домейна ти са слабо място за сигурността

Когато чуеш за DNS, си представяш скучна инфраструктура – невидимата тръберия, която превръща google.com в IP адрес. Толкова е банална, че повечето екипи за сигурност я подминават. И тъкмо това е грешката.

Нов proof-of-concept показва нещо тревожно: TXT записите в DNS могат да се използват за доставка на цели приложения. Не става дума за кражба на данни или скрити пароли. Туй са пълни програми с всичките им зависимости, които минават покрай класическите защити за файлове.

Проблемът с TXT записите в DNS

Да започнем от нулата. TXT записите са създадени за полезни неща – главно за проверка на имейли чрез SPF, DKIM и DMARC. Те са обикновени текстови полета без строга проверка. Протоколът не се интересува какво пишеш в тях, което е плюс... и огромен пропуск.

Ето защо са опасни:

Всекидневни са: Всеки домейн ги има. Всяко registrar ги поддържа. Като DNS сам по себе си.

Голямо капацитет: Един DNS зона побира хиляди TXT записи, всеки до 2000 символа.

Кеширане навсякъде: Публичните DNS сървъри са разпределени по света и кешират всичко. ISP-то ти, фирмата ти, CDN-ите – всички го правят.

Невидимост за анализ: Кога за последно си проверявал стари TXT записи? Никой не го прави.

Достъп за всички: Всеки с интернет може да ги прочете. Без парола, без следа.

Това дава на хакерите безплатна, глобална, кеширана и невидима система за раздаване на файлове – под формата на нормален DNS трафик.

От shellcode към пълни приложения

Атаките еволюираха бързо. Първо идваше shellcode – злонамерен код, скрит в Base64 в текстови полета. Лесно се настройва и почти не се хваща, щото никой не проверява стари DNS заявки.

Защо да спираш там?

Ако можеш да скриеш payload, можеш да скриеш файл. От файл – цял архив. От архив – пълно приложение.

Този proof-of-concept отива до крайност: зарежда цял DOOM двигател от TXT записи. 1966 записа, всеки с парче код, които се сглобяват в паметта и стартират без да докоснат диска. Пълноценна игра.

Представи си: домейнът ти може да раздава криптомайнер, reverse shell или дори Office – без следи на диска, които EDR да хванат.

Как работи на практика

Механизмът е прост:

Кодиране: Компресирай бинарника (или WAD файл за DOOM). Base64-вай го.

Разделяне: Нарежи на парчета по 2000 символа. Всеки става TXT запис.

Индекс: Един запис казва колко парчета има и реда им.

Доставка: Малварът пита DNS за парчета един по един. Сглобява в паметта.

Стартиране: Зарежда директно в процеса чрез reflection – без файлове на диска.

За SOC екипите изглежда като обикновени DNS заявки. Още хиляди на ден – кой ще ги брои?

Защо защитите ти не работят

Повечето инструменти се фокусират върху:

• Файлове: YARA, хешове, поведение – всичко рухва при in-memory изпълнение.
• Мрежа: DNS изглежда нормално. Шифрирано с DoH/DoT, парчета като текст.
• Репутация на домейни: Хакерът използва твоя домейн или легитимен.
• Логове: DNS данните изчезват след 24-48 часа. Късно е.

Какво да правят NameOcean клиентите

В NameOcean залагаме на сигурността и откритостта. Ето стъпките:

1. Провери TXT записите: Огледай всички в зоната. Документирай. Алармирай за нови.

2. Мониторинг на DNS: Не само логове – анализирай. Търси повтарящи се заявки, голям обем, Base64 шаблони.

3. DNS филтри: Пусни на gateway или endpoint. Улавят странни патърни.

4. Заключи registrar-a: MFA, ограничен достъп, логове за промени. Ако хакнат зоната – край.

5. DNSSEC: Не спира атака, но блокира spoofing.

6. Следи CDN кеша: CloudFlare и подобни – логвай промени.

По-широката картина: DNS е инфраструктура, не защита

Този PoC напомня: DNS е за надеждност, не за сигурност. Старата простота го прави уязвимо.

Заплахата е реална. Държави и APT групи го използват. DOOM е само сигнал – лесно, работи, без следи.

Какво следва

За защитниците:

DNS е повърхност за атака. Не инфраструктура – канал за малвар.

Zero-trust за DNS. Мониторирай като външен трафик.

Инвестирай в инструменти. DNS firewalls, anomaly detection, threat intel.

Обучи екипа. SOC трябва да знае рисковете.

За NameOcean клиентите: даваме контрол, логове и одит за всяка промяна.

TXT записите изглеждат скучни, но са порта за атаки. Гледай ги зорко.

Забелязал ли си странни DNS движения? Как мониторите сигурността в фирмата? Пиши в коментарите.