DNS som våben: Hvorfor TXT-records på dit domain er en sikkerhedsrisiko

DNS handler for de fleste om kedelig baggrundsarbejde. Det oversætter domænenavne som google.com til IP-adresser. Simpelt og usynligt. Men netop det gør det farligt. Sikkerhedsteams overser det ofte.

En ny proof-of-concept viser det skræmmende potentiale: TXT-records kan bruges til at levere hele programmer via DNS-forespørgsler. Ikke bare små datatyverier. Vi snakker fulde applikationer med alle afhængigheder – uden at ramme filsystemet.

Problemet med TXT-records

TXT-records startede som et simpelt værktøj til email-sikkerhed. SPF, DKIM, DMARC. De er bare tekstfelter uden streng validering. DNS-protokollen stiller ingen krav til indholdet.

Hvorfor er de en risiko?

Overalt tilgængelige: Hvert domain har plads til dem. Alle registrars understøtter det.

Stor kapacitet: Tusindvis af records pr. zone. Op til 2000 tegn per record.

Caching globalt: DNS caches hos ISP'er, firmaer og CDNs verden over.

Usynlige i logs: Hvem tjekker gamle TXT-indhold? Ingen.

Offentligt tilgængelige: Alle kan query'e dem uden login.

Det er en gratis, cached, usynlig kanal, der ligner almindelig DNS-trafik. Perfekt for angribere.

Fra shellcode til fulde apps

Det hele startede med shellcode i TXT-records. Base64-kodet og kørt i hukommelsen. Nemt og svært at spotte.

Men hvorfor begrænse sig? Et record kan holde filer. Filer kan pakkes sammen. Og så har du en hel applikation.

Proof-of-concept'et loader hele DOOM-motoren fra 1966 TXT-records. Alt samles i hukommelsen og køres uden disk-spor. Forestil dig Office, cryptominer eller reverse shell leveret på samme måde.

Sådan virker angrebet

Det er overraskende ligetil:

Kodning: Komprimer binary-filen. Base64-kod det.

Opdeling: Skær i 2000-tegn chunks. Hver chunk bliver en TXT-record.

Indeks: En record fortæller rækkefølgen.

Hentning: Malware query'er chunks en ad gangen. Samler i hukommelse.

Kørsel: Load direkte via reflection for .NET – ingen filer på disken.

SOC-teams ser tusindvis af DNS-queries dagligt. Et par hundrede ekstra? Umuligt at skelne.

Hvorfor dine forsvar svigter

Typisk overvågning rammer ikke dette:

• Fil-scanning: YARA og hashes kræver filer på disk. Hukommelses-kørsel slipper forbi.

• Netværks-signaturer: Ser ud som normal DNS. Ofte krypteret med DoH/DoT.

• Domain-reputation: Angriberen bruger dit eget domain eller et legitimt.

• Log-bevaring: DNS-logs ryddes efter 1-2 dage. Spor forsvinder.

Råd til NameOcean-brugere

Hos NameOcean prioriterer vi domain-sikkerhed. Her er dine trin:

1. Gennemse TXT-records: Tjek alle i dine zoner. Log ændringer og alert på nye.

2. Overvåg DNS: Analysér queries. Kig efter gentagne subdomains, højt volume eller Base64-mønstre.

3. DNS-filtrering: Sæt det op på gateway eller endpoint. Det fanger unormale patterns.

4. Sikr registrar-kontoen: MFA, begræns adgang, log alt.

5. DNSSEC: Beskytter mod spoofing, selvom det ikke stopper dette.

6. CDN-overvågning: Aktivér logs hos CloudFlare eller lignende.

Det store billede: DNS er ikke sikkert

DNS er bygget til pålidelighed, ikke sikkerhed. Den enkelhed gør det sårbart. Nation-states udnytter det allerede. DOOM-demoen er et varsel.

Fremadrettet

Behandl DNS som angrebsoverflade. Zero-trust på intern DNS. Invester i DNS-firewalls og anomaly-detection. Træn dit team.

NameOcean giver stærke kontroller, logs og audit-værktøjer. Hold øje med dine TXT-records – de er ikke kedelige længere.

Har du set mistænkelig DNS-trafik? Hvordan monitorer I DNS hos jer? Kom med input i kommentarerne.