DNS fegyverként: Miért vakfolt a TXT rekord a domain biztonsága?

A DNS-t legtöbben unalmas háttérként látják, ami csak összeköti a nevet az IP-címmel, mint a google.com. Senki sem foglalkozik vele sokat a biztonsági csapatokban. Pedig ez a legnagyobb hiba.

Egy friss demó mutatja meg, miért kell ébren tartania ez a SOC-osokat: a DNS TXT rekordokból teljes alkalmazásokat lehet kiszállítani. Nemcsak jelszavakat lopnak vagy adatokat szivárogtatnak, hanem egész szoftvereket indítanak el – függőségekkel együtt –, miközben megkerülik a hagyományos fájl alapú védelmeket.

Mi a baj a TXT rekordokkal?

Nézzük az alapokat. A TXT rekordokat eredetileg email hitelesítésre találták ki, mint SPF, DKIM vagy DMARC. Egyszerű szöveges mezők, minimális ellenőrzéssel. A protokol nem kérdi, mit teszel beléjük – ez egyszerre előny és óriási lyuk.

Íme, miért veszélyesek:

Mindenhol ott vannak: Minden domainen lehetnek. Minden regisztrátor kezeli őket. DNS nélkül nincs web, TXT nélkül meg nincs biztonság.

Hatalmas kapacitás: Egy zónába ezreket pakolhatsz, egyenként 2000 karakterig.

Gyorsítótárazás: Világszerte cacheelik a publikus DNS-ek, ISP-k, cégek, CDN-ek. Mindenhol megvan gyorsan.

Nyomkövethetetlen: Mikor nézte utoljára a biztonsági csapatod a régi TXT tartalmakat? Pontosan, soha.

Nyilvános hozzáférés: Bármi internetről lekérdezhető. Nincs auth, nincs extra log.

Ez egy álom a támadóknak: ingyenes, globális, gyorsítótárazott fájlkiszolgáló, ami simán néz ki, mint normál DNS forgalom.

Shellcode-tól a teljes appig

Az ötlet lépésről lépésre épült ki. Először shellcode-okat rejtettek Base64-ben kódolt TXT-be, amit futtatáskor húztak le. Könnyű, hatékony, észre se venni, mert senki nem nézi a régi lekérdezéseket.

De miért álljunk meg itt? Ha payload fér bele, fájl is. Ha fájl, több is. Ha több, akkor egész alkalmazás.

A mostani PoC csúcsragadozó: teljes DOOM motort húznak le 1966 TXT rekordból, memóriában állítják össze, és futtatják le lemez nélkül. Képzeld el: Office-klón, kriptobányász vagy reverse shell – minden fájlnyom nélkül, amit az EDR-ek észrevennének.

Hogyan működik pontosan?

Egyszerű a mechanika:

Kódolás: Veszed a binárist (vagy WAD fájlt DOOM-nál). Szorítod, Base64-be teszed.

Darabolás: 2000 karakteres darabokra vágod. Minden darab egy TXT rekord.

Index: Készítesz egy meta-rekordot, ami megmondja a darabszámot és sorrendet.

Letöltés: A malware sorban lekérdezi őket. Memóriában összerakja.

Futtatás: Reflection-nel betölti memóriából, .NET-nél direkt bytecode-ként. Nincs lemez, nincs nyoma.

A támadóknak ez tökéletes álca: ezrek DNS lekérdezés jön naponta, pár száz extra beleolvad.

Miért bukik meg a védelmed?

A szokásos eszközök vakok rá:

• Fájl alapú: YARA, hash-ek, viselkedés mind lemezre épít. Memória-execution kikerüli.
• Hálózati: Normál DNS-nek tűnik, DoH/DoT titkosít, darabok sima szövegnek látszanak.
• Domain hírnév: Saját domaineddel vagy ügyfélibel csinálja, nem kell gyanús cucc.
• Logok: 24-48 óra után törlődik a legtöbb helyen. Későn jössz rá, adat sehol.

Mit tegyenek a NameOcean felhasználók?

Nálunk a domain biztonság elsőbbség, de mindig őszinték vagyunk. Íme a lépések:

1. Nézd át a TXT-eket: Listázd ki az összeset a zónáidban. Jegyezd fel. Értesíts váratlan változásokról.

2. Monitorozz DNS-t: Ne csak logolj, elemezz. Ismétlődő subdomain lekérdezések, volume csúcsok, Base64-szerű válaszok – ezek gyanúsak.

3. DNS szűrő: Gateway-en vagy végponton kapcsold be. Modern eszközök kiszúrják az anomáliákat.

4. Regisztrátor zárolás: MFA, korlátozott hozzáférés, minden változtatást logolj. Ha bejutnak a zónádba, megvan a baj.

5. DNSSEC: Nem állítja meg ezt, de spoofing ellen véd.

6. Edge cache ellenőrzés: CloudFlare-szerű CDN-nél logold és figyelmezz DNS módosításokra.

Nagyobb kép: DNS infrastruktúra, nem erődítmény

Ez a demó rámutat: DNS megbízhatóságra született, nem biztonságra. Egyszerűségéért szeretjük – és ezért támadják.

Nem elmélet: államkliensek már rég használják. A DOOM csak ébresztő – könnyű replikázni, minimális nyom.

Hogyan tovább?

DNS-t támadási felületként kezeld. Nem csak csővezeték, hanem szállítási útvonal.

Zero-trust DNS: Belsőhöz is ugyanazt a szigort, mint külsőhöz.

Befektess eszközökbe: DNS tűzfal, anomália detektálás, DNS-specifikus threat intel – kötelező.

Oktass: SOC-nak tudnia kell, archiknak modellezni.

NameOcean-nél biztosítjuk az eszközöket: erős kontrollok, teljes logok, minden DNS változás auditálható.

A TXT rekordok uncsinak tűnnek, de kapu lehetnek. Figyeld őket!

Gyanús DNS mozgást láttál a rendszeredben? Hogyan monitorozod a DNS biztonságot? Írd meg kommentben!