DNS som våpen: Hvorfor TXT-poster i domenet ditt er en sikkerhetsfelle

DNS føles ofte som kjedelig bakgrunnsstøy – den usynlige motoren som kobler google.com til en IP-adresse. De fleste sikkerhetsteam overser det helt. Det er nettopp det som gjør det farlig.

En ny proof-of-concept viser hvor ille det kan bli: DNS TXT-poster kan brukes til å levere hele applikasjoner. Ikke bare passord eller datauttrekk. Vi snakker fullverdige programmer med alt de trenger for å kjøre – levert rett via DNS-forespørsler. Tradisjonelle sikkerhetsverktøy ser ingenting.

Problemet med TXT-poster

TXT-poster i DNS er ment for ærlige ting, som SPF, DKIM og DMARC for e-post. De er bare tekstfelt uten streng sjekk. Protokollen bryr seg ikke om innholdet. Det er praktisk, men en gigantisk svakhet.

Her er hvorfor de er farlige:

Overalt tilgjengelig: Hver eneste domain har plass til dem. Alle registrar-støtter dem. De er like vanlige som DNS selv.

Stor kapasitet: En DNS-sone tåler tusenvis av poster, hver med opptil 2000 tegn.

Caching overalt: Offentlige DNS-servere cacher dem globalt. ISP-en din cacher. Bedriften din cacher. CDN-er cacher.

Usynlig i logger: Når sjekket sikkerhetsteam sist gamle TXT-innhold? Aldri. Det logges ikke.

Offentlig og gratis: Alle med nett kan hente dem. Ingen autentisering. Minimal logging.

Resultatet? Et gratis, globalt distribuert filerleveringssystem som ser ut som normal DNS-trafikk. Perfekt for angripere.

Fra shellcode til komplette apper

Angrepene har utviklet seg raskt. Først brukte forskere TXT-poster til shellcode – ondsinnet kode gjemt i Base64-kodet tekst. Lett å sette opp, umulig å oppdage siden ingen sjekker DNS-innhold.

Men hvorfor nøye seg med det?

Hvis du kan gjemme en payload, kan du gjemme filer. Flere filer. Hele apper.

Den nye demoen er vill: En full DOOM-motor lastes fra 1966 TXT-poster. Alt settes sammen i minnet og kjøres uten å skrive til disk. Tenk på det – domenet ditt kunne levere et spill, en miner eller Office365. Null spor på filsystemet.

Slik fungerer det i praksis

Det er enklere enn du tror:

Kodning: Ta app-filen (eller WAD for DOOM). Komprimer hardt. Base64-kod.

Del opp: Kutt i biter på 2000 tegn. Hver bit blir en TXT-post.

Indeks: Lag en post som forteller rekkefølgen og antall biter.

Henting: Malware spør DNS etter bitene én etter én. Alt samles i minnet.

Kjøring: Last direkte i prosessen via refleksjon for .NET eller lignende. Ingen diskeventyr.

Fra angriper-siden ser det ut som vanlige DNS-spørringer. SOC-teamet ditt drukner i tusenvis daglig. Ekstra hundrevis forsvinner i mengden.

Hvorfor dagens sikkerhet svikter

Vanlige verktøy bommer:

• Fildeteksjon: YARA, hasher og atferd krever filer på disk. Minne-kjøring ignorerer dem.

• Nettverksregler: DNS ser normalt ut. Ofte kryptert med DoH/DoT. Biter ser ut som tekst.

• Domain-reputasjon: Angriperen bruker ditt eget domain, kundens eller et rent ett.

• Loggbevaring: De fleste DNS-logger slettes etter 1-2 dager. Sporene forsvinner.

Råd til NameOcean-brukere

Hos NameOcean prioriterer vi domenesikkerhet, men vi er åpne om risiko. Gjør dette:

1. Sjekk TXT-poster: Gå gjennom alle i zonene dine. Dokumenter. Varsle om nye.

2. Overvåk DNS: Logg ikke bare – analyser. Se etter gjentatte spørringer, høyt volum eller Base64-mønstre.

3. DNS-filtrering: Sett opp sikkerhet på gateway eller endpoint. Mange verktøy fanger unormale mønstre.

4. Sikre registrar-kontoen: MFA på. Begrens tilgang. Logg alle endringer. Uten dette er du sårbar.

5. DNSSEC: Stopper ikke dette, men hindrer spoofing.

6. CDN-overvåking: Med CloudFlare eller lignende – slå på logger og varsler for DNS-endringer.

DNS er infrastruktur, ikke festning

Denne demoen viser sannheten: DNS er bygget for pålitelighet, ikke sikkerhet. Den enkle designen er styrken – og svakheten.

Trusselen er reell. Statlige aktører bruker dette allerede. DOOM-demoen er en alarmklokke: Lett, effektivt, sporløst.

Fremtiden for forsvar

Behandle DNS som angrepsflate. Ikke bare rør.

Zero-trust for DNS. Overvåk internt som eksternt.

Invester i verktøy. DNS-firewalls, anomalideteksjon og trusselinfo er must.

Oppdater teamet. SOC må vite. Arkitekter må inkludere det i modellen.

For NameOcean-kunder: Vi gir sterke kontroller, full logging og enkel auditing av DNS-endringer.

TXT-poster virker harmløse. Men de kan være inngang til avanserte angrep. Hold øye.

Har du sett mistenkelig DNS-aktivitet? Hva gjør firmaet ditt for å sikre DNS? Del i kommentarene.