DNS jako zbraň: Proč jsou TXT záznamy u vaší domény bezpečnostní slepou skvrnou

DNS působí jako nudná základy internetu. Převádí doménu jako example.cz na IP adresu a běhá v pozadí. Většina bezpečáků na to nemyslí. A to je chyba.

Nedávný experiment ukazuje, jak TXT záznamy v DNS dokážou roznášet celé aplikace. Nejde jen o ukradená hesla nebo data. Mluvíme o plném softwaru s knihovnami, který se doručí přes DNS dotazy. Bez souborů na disku, které by detekce zahlédla.

Problém s TXT záznamy v DNS

TXT záznamy slouží hlavně pro ověřování emailů – SPF, DKIM, DMARC. Jsou to obyčejné textové polička bez kontroly obsahu. Protokol se neptá, co tam dáváte.

Co je na nich nebezpečné:

Všudypřítomnost: Každá doména je má. Každý registrátor je podporuje.

Kapacita: Jedna DNS zóna pojme tisíce záznamů po 2000 znacích.

Cache: Veřejné DNS se cachuje po celém světě. U ISP, ve firmě, v CDN.

Neviditelnost: Kdo sleduje historii TXT záznamů? Nikdo.

Otevřenost: Query může kdokoli. Bez loginu, bez logů.

Výsledek? Zdarma distribuovaný systém pro šíření souborů, který vypadá jako normální DNS provoz.

Od shellcode k plným aplikacím

Útok se vyvíjí. Nejdřív se do TXT schovával shellcode – zakódovaný kód v Base64. Snadno se nasadí, těžko se chytí.

Ale proč se omezovat? Z payloadu uděláte soubor. Z jednoho víc. Z nich celou aplikaci.

Experiment, který teď burácí, stáhne DOOM engine z 1966 TXT záznamů. Sestaví ho v paměti a spustí. Žádný soubor na disku. Představte si: místo hry tam může být miner, shell nebo Office.

Jak to funguje

Je to jednoduché:

Kódování: Binárku stlačíte, zakódujete Base64.

Rozdělení: Na kousky po 2000 znacích. Každý kousek je TXT záznam.

Index: Hlavní záznam řekne, kolik kusů a jak je složit.

Stažení: Malware query po query sbírá data. Sestaví v RAM.

Spuštění: Načte přímo do procesu, bez disku. U .NET přes reflection.

SOC vidí tisíce DNS query denně. Tyto se ztratí v hluku.

Proč současná obrana selhává

Detekce hledá:

• Soubory: YARA, hashe, chování – ale v paměti nic není.
• Síť: DNS vypadá normálně, často šifrované (DoH/DoT).
• Reputace: Útočník použije vaši doménu nebo legitimní.
• Logy: DNS logy se mačkají po 1-2 dnech.

Co vědět uživatelům NameOcean

U NameOcean bezpečnost domén bereme vážně. Buďte proaktivní:

1. Prověřte TXT záznamy: Projděte všechny. Zapište, co tam je. Varujte před změnami.

2. Sledujte DNS: Ne jen logujte, analyzujte. Hledejte opakované query, vysoký objem, Base64 v odpovědích.

3. DNS filtry: Nastavte na gateway nebo endpoint. Zachytí anomálie.

4. Zajistěte registrátora: MFA, omezený přístup, logy změn.

5. DNSSEC: Brání spoofingu, i když tento útok nezastaví.

6. Cache v CDN: Zapněte logy a alerty na změny.

Širší pohled: DNS není bezpečné

DNS je starý protokol pro spolehlivost, ne bezpečnost. Jeho jednoduchost ho dělá zranitelným. Státní aktéři to už využívají. DOOM je varování.

Kam dál

Pro obránce:

DNS jako cíl: Monitorujte jako veřejný traffic.

Zero-trust DNS: Interní není bezpečné.

Nástroje: DNS firewall, detekce anomálií.

Vzdělávání: SOC musí chápat rizika.

U NameOcean dáváme nástroje: kontroly, logy, audit změn.

TXT záznamy jsou nudné, ale otevřené dveře. Sledujte je.

Měli jste podezřelý DNS provoz? Jak monitorujete bezpečnost u sebe? Pište do komentářů.