DNS als Waffe: Warum TXT-Records bei Domains ein Sicherheitsloch sind

DNS wirkt oft wie unsichtbare Magie. Es wandelt Domains wie example.com in IP-Adressen um. Viele sehen es als langweilige Grundlage. Doch genau das macht es gefährlich. Security-Teams übersehen es leicht.

Ein neues Proof-of-Concept zeigt: TXT-Records lassen sich zu einem System für App-Lieferungen missbrauchen. Kein simples Verstecken von Passwörtern. Hier kommen komplette Programme mit allen Abhängigkeiten – rein über DNS-Abfragen. Traditionelle Schutzmechanismen? Umgangen.

Das Problem mit DNS TXT-Records

TXT-Records dienen eigentlich harmlosen Zwecken. Sie speichern Infos für E-Mail-Sicherheit wie SPF, DKIM oder DMARC. Reine Textfelder ohne strenge Prüfung. Das Protokoll schaut nicht hin, was drinsteht. Praktisch, aber riskant.

Warum sind sie so anfällig?

Überall vorhanden: Jede Domain hat sie. Jeder Registrar erlaubt sie. Wie DNS selbst.

Riesige Kapazität: Eine Zone fasst Tausende Records, je bis 2.000 Zeichen.

Weltweites Caching: Öffentliche DNS-Server speichern sie global. Dein ISP, dein Netzwerk, CDNs – alles puffert.

Keine Spuren: Wer protokolliert alte TXT-Inhalte? Kaum jemand.

Frei abrufbar: Jeder mit Internet kann abfragen. Ohne Login, ohne Log.

Das ergibt ein Traum-Szenario für Hacker: Kostenloses, verteiltes Speichersystem, das wie normales DNS aussieht.

Von Shellcode zu vollen Programmen

Die Entwicklung jagt Schauer ein. Früher nutzten Forscher TXT-Records für Shellcode – verschlüsselte Schadcode-Schnipsel in Base64. Einfach, unauffindbar, da niemand alte Abfragen prüft.

Aber warum nicht weitergehen?

Ein Record hält Payloads. Mehrere halten Dateien. Viele bilden ein ganzes Programm.

Das aktuelle Demo-Experiment toppt alles: Ein volles DOOM-Spiel wird aus DNS geladen. 1.966 TXT-Records mit kodierten Teilen. Alles im RAM zusammengesetzt, ohne Festplatte. Funktioniert einwandfrei.

Stell dir vor: Deine Domain liefert Malware, Miner oder Office-Klone – spurlos.

So funktioniert der Angriff

Der Ablauf ist simpel:

Kodierung: Programm komprimieren, Base64 kodieren.

Teilen: In 2.000-Zeichen-Stücke zerlegen. Jedes ein TXT-Record.

Index: Ein Record listet Anzahl und Reihenfolge.

Abruf: Malware holt Stücke per DNS-Abfrage nacheinander.

Zusammenbau: Im Speicher montieren.

Start: Direkt aus RAM laden, z.B. via Reflection bei .NET. Keine Dateien.

Für den Angreifer genial: Sieht aus wie Alltags-DNS. Tausende Queries täglich – ein paar mehr fallen nicht auf.

Warum bestehende Schutzmaßnahmen versagen

Viele Tools zielen falsch:

• Datei-Scanner: YARA, Hashes brauchen Festplattenspur. RAM-Ausführung schlägt sie.

• Netzwerkregeln: DNS-Abfragen wirken normal, oft verschlüsselt (DoH/DoT). Payloads wie Text.

• Domain-Checks: Kein Bedarf für dubiose Domains. Eigene oder kontrollierte reichen.

• Logs: DNS-Daten oft nur 1-2 Tage haltbar. Zu spät bemerkt, weg.

Tipps für NameOcean-Nutzer

Bei NameOcean sichern wir Domains gründlich – und sind offen. So gehst du vor:

1. TXT prüfen: Alle Records in deinen Zonen durchsehen. Dokumentieren. Bei Neuen alarmieren.

2. DNS überwachen: Queries nicht nur loggen, analysieren. Auf Wiederholungen, hohe Volumen oder Base64-Muster achten.

3. Filter einsetzen: DNS-Sicherheit am Gateway oder Endpoint. Viele Tools spotten Anomalien.

4. Registrar absichern: MFA, Zugriffsbeschränkungen, Change-Logs. Hacker mit Zone-Zugriff sind gefährlich.

5. DNSSEC aktivieren: Stoppt kein Delivery, aber Spoofing.

6. Cache checken: Bei CDNs wie Cloudflare Logs und Alarme für DNS-Änderungen.

Der große Kontext: DNS ist Basis, kein Schutz

Das Demo unterstreicht: DNS priorisiert Zuverlässigkeit, nicht Sicherheit. Es ist alt, einfach – und genau das nutzen Profis aus.

Kein Hirngespinst. Staaten und Profi-Gruppen kennen das. DOOM ist der Weckruf: Machbar, wirksam, spurenarm.

Nächste Schritte

Für Defender heißt das:

DNS als Angriffsfläche sehen. Nicht nur Rohrleitung, sondern Lieferweg.

Zero-Trust für DNS. Intern genauso prüfen wie Außenverkehr.

Spezialtools holen. DNS-Firewalls, Anomalie-Detektion, Threat-Intel.

Team schulen. SOC muss DNS als Waffe kennen. Architekten es einplanen.

NameOcean liefert starke Controls, Logs und Audit-Optionen für deine Domains.

TXT-Records wirken öde. Aber sie sind ein offenes Tor. Behalte sie im Blick.

Habt ihr verdächtige DNS-Aktivitäten entdeckt? Wie überwacht eure Firma DNS? Teilt es in den Kommentaren.