DNS aseena: Miksi domainisi TXT-tietueet ovat tietoturvan heikko lenkki

DNS on monille tylsää taustajärjestelmää. Se muuttaa google.comin IP-osoitteeksi hiljaa kulisseissa. Turvallisuusporukat tuskin vilkaissevatkaan siihen suuntaan. Siinä piilee ongelma.

Tuore proof-of-concept paljastaa pelottavan tempun: DNS TXT -tietueista voi ladata kokonaisia ohjelmia. Ei pelkkiä salasanoja tai tietovuotoja. Kyse on sovelluksista runtime-riippuvuuksineen – suoraan DNS-kyselyillä, ohi tiedostopohjaisten suojien.

TXT-tietueiden vaara

Muistetaan perusasiat. TXT-tietueet syntyivät sähköpostin varmisteluun, kuten SPF:ään, DKIM:iin ja DMARC:iin. Ne ovat pelkkiä tekstikenttiä ilman tiukkaa tarkastusta. Protokolla nielee mitä tahansa.

Näin ne ovat uhka:

Yleisyys: Jokaisella domainilla on TXT-tietueita. Kaikki rekisteröijät tukevat niitä. Ne ovat DNS:n tavallisia asukkaita.

Määrä: Yksi DNS-alue vetää sisäänsä tuhansia tietueita, kukin jopa 2 000 merkkiä.

Välimuisti: Julkiset DNS-palvelimet levittäytyvät maailmanlaajuisesti ja välimuistavat kaiken. ISP:si tallentaa. Yrityksesi tallentaa. CDN:t tallentavat.

Jäljättömyys: Milloin viimeksi tarkistit vanhoja TXT-sisältöjä lokista? Harva tekee.

Avoimuus: Kuka tahansa netissä oleva voi kysellä niitä. Ei tunnistautumista. Ei lokikuormaa.

Tulos? Ilmainen, hajautettu, välimuistissa piilevä tiedostotoimitusjärjestelmä, joka naamioituu tavalliseksi DNS-liikenteeksi. Hyökkääjän unelma.

Shellcodesta kokonaisiin sovelluksiin

Hyökkäys kehittyy hurjasti. Aluksi tutkijat piilotettiin shellcodea Base64-koodattuna TXT-tietueisiin. Se aktivoituu muistissa, näkymättömänä.

Miksi pysähtyä siihen?

Jos saat payloadin sisään, saat tiedoston. Tiedostosta useita. Useista koko sovellusarkisto.

Nyt puhutaan DOOM-moottorista: 1 966 TXT-tietuetta, koodatut palaset koottuna muistissa. Pelikone pyörii levyttä. Sama temppu toimisi cryptominerillä, Office365:llä tai reverse shellillä – ilman levyjälkiä.

Näin hyökkäys etenee

Periaate on yksinkertainen:

Koodaus: Pakkaa sovelluksen binääri (esim. DOOMin WAD). Base64-koodaa.

Pilkkominen: Jaottele 2 000 merkin paloiksi. Jokainen pala TXT-tietueeksi.

Indeksi: Erityinen tietue kertoo palojen määrän ja järjestyksen.

Toimitus: Haittaohjelma kysyy paloja peräkkäin DNS:stä. Kokoaa muistissa.

Suoritus: Lataa suoraan prosessiin, esim. .NET-reflectionilla. Ei levylle.

SOC näkee vain tavallisia DNS-kyselyitä. Muutama sata ylimääräistä hukkua massaan.

Miksi suojasi pettävät

Nykyiset työkalut keskittyvät vääriin kohteisiin:

• Tiedostohaku: YARA, hashit ja käyttäytymismallit kaatuvat muistisuoritukseen.
• Verkon allekirjoitukset: DNS-kyselyt näyttävät normaaleilta. DoH/DoT salaa. Palat muistuttavat tavallista tekstiä.
• Domainin maine: Hyökkääjä käyttää omaa domainiaan tai uhrin – tai jopa sinun.
• Lokit: DNS-historia katoaa 24–48 tunnissa useimmilla.

Mitä NameOceanin asiakkaiden pitää tietää

NameOceanissa domainiturva on ykkönen, mutta rehellisyys ensin. Toimi näin:

1. Tarkasta TXT-tietueet: Käy läpi kaikki DNS-alueesi. Dokumentoi. Ilmoita uusista.

2. Seuraa DNS:ää: Älä vain lokita – analysoi. Etsi toistuvia alidomain-kyselyitä, poikkeavia määriä tai Base64-henkeä vastauksissa.

3. DNS-suodatus: Ota käyttöön gatewayssa tai päätelaitteissa. Modernit ratkaisut bongaavat outoja kuvioita.

4. Suojaa rekisteröijätili: MFA päälle. Rajoita muokkaajia. Loka muutokset. Hyökkääjä DNS-zoneissasi on vaara.

5. DNSSEC käyttöön: Ei estä tätä, mutta torjuu spoofingin.

6. Seuraa CDN-välimuistia: CloudFlare-tyyppisissä lokita ja alarmoi DNS-muutoksista.

Laajempi näkökulma: DNS on infraa, ei turvaa

Proof-of-concept osoittaa: DNS rakennettiin luotettavuudelle, ei turvallisuudelle. Sen yksinkertaisuus tekee siitä haavoittuvan.

Uhka on todellinen. Valtiovaltioiden ja huippuryhmien työkalu jo. DOOM on herätys – helppo toteuttaa, vaikea jäljittää.

Jatkossa

Puolustajille se tarkoittaa:

DNS hyökkäyspintana. Ei pelkkä putki – toimituskanava.

Zero-trust DNS. Seuraa sisäistäkin yhtä tiukasti kuin ulkoista.

Sijoita DNS-työkaluihin. Palomuurit, anomalioiden bongaus ja DNS-uhkatiedustelu pakollisia.

Kouluta porukkaa. SOCin pitää tajuta DNS-aseet. Arkkitehtien uhkamalliin DNS kuuluu.

NameOcean tarjoaa asiakkailleen vahvat kontrollit, lokit ja muutoshälytykset DNS:lle.

TXT-tietueet näyttävät tylsiltä. Ne ovat silti ovi hyville hyökkäyksille. Pidä silmällä.

Oletko bongannut outoa DNS-liikettä? Mitä organisaatiosi tekee DNS-turvalle? Kerro kommenteissa.