DNS jako broń: Dlaczego rekordy TXT w twojej domenie to ślepa plamka bezpieczeństwa

DNS kojarzy się z nudną infrastrukturą – niewidzialnymi rurami, które zamieniają google.com na adres IP. Bezpieczniki rzadko o nim myślą. I to właśnie jest problem.

Niedawny proof-of-concept pokazuje koszmar dla każdego SOC: rekordy TXT w DNS mogą służyć do dostarczania całych aplikacji. Nie chodzi o hasła czy kradzież danych. Chodzi o pełne programy z zależnościami, przesyłane przez zapytania DNS. Omijają one tradycyjne zabezpieczenia oparte na plikach.

Problem z rekordami TXT w DNS

Na początek podstawy. Rekordy TXT powstały do weryfikacji maili – SPF, DKIM, DMARC. To pola tekstowe bez ścisłej kontroli. Protokół nie sprawdza treści. To zaleta i ogromna luka.

Dlaczego TXT są groźne:

Powszechność: Każda domena je ma. Każdy registrar je obsługuje. Są wszechobecne jak sam DNS.

Pojemność: Jedna strefa DNS pomieści tysiące rekordów TXT, każdy do 2000 znaków.

Buforowanie: Publiczne serwery DNS cachują je globalnie – u ISP, w firmie, w CDN.

Brak śladów: Kiedy ostatni raz sprawdzałeś historię TXT? Nikt tego nie loguje.

Dostępność: Każdy z netem może je odczytać. Bez haseł, bez logów.

To darmowy, rozproszony system dystrybucji plików, maskowany pod zwykły ruch DNS. Idealny dla hakerów.

Od shellcode do pełnych aplikacji

Atak ewoluował. Na start badacze ukrywali shellcode w TXT – zakodowany Base64, uruchamiany w locie. Łatwe, trudne do wykrycia, bo nikt nie analizuje starych zapytań DNS.

Ale po co się zatrzymywać?

Jeśli dasz radę schować payload, schowasz plik. Plik to archiwum. Archiwum to cała aplikacja.

Ten proof-of-concept szokuje: silnik DOOM z DNS TXT. 1966 rekordów z fragmentami kodu. Zbierane w pamięci, bez dotykania dysku. Pełna gra działa.

Wyobraź to sobie. Twoja domena mogłaby rozesłać Office, minera krypto czy reverse shell. Bez śladów na dysku, których szukają EDR-y.

Jak to działa w praktyce

Mechanizm jest prosty:

Kodowanie: Weź binarkę (tu WAD z DOOM). Spakuj mocno. Zakoduj Base64.

Podział: Podziel na kawałki po 2000 znaków. Każdy to osobny TXT.

Indeks: Dodaj rekord z mapą – ile chunków, w jakiej kolejności.

Pobranie: Malware pyta po kolei. Zbiera w pamięci.

Uruchomienie: Wczytaj z RAM. Dla .NET – reflection ładuje bajtki bezpośrednio.

Z perspektywy atakującego to genialne. Wygląda jak codzienne DNS. SOC widzi tysiące zapytań dziennie. Kilka setek więcej? Nikt nie zauważy.

Dlaczego twoje zabezpieczenia zawodzą

Typowy monitoring skupia się na:

• Plikach: YARA, hashe, sygnatury – zależą od zapisu na dysk. Memory execution je omija.
• Sieci: DNS wygląda normalnie. DoH/DoT szyfruje. Kawałki to zwykły tekst.
• Reputacji domen: Atakujący użyje twojej domeny lub dowolnej z ruchem.
• Logach DNS: Trzymasz je 24-48h? Dane znikną przed analizą.

Co powinni wiedzieć użytkownicy NameOcean

W NameOcean dbamy o bezpieczeństwo domen, ale stawiamy na przejrzystość. Zrób to:

1. Przejrzyj TXT: Sprawdź wszystkie rekordy w strefach DNS. Udokumentuj. Alarmuj na zmiany.

2. Monitoruj DNS: Loguj i analizuj zapytania. Szukaj powtórzeń subdomen, wolumenów, wzorców Base64.

3. Filtry DNS: Wdroż na gateway czy endpoint. Nowe narzędzia łapią anomalie.

4. Zabezpiecz registrar: MFA, ograniczenia dostępu, logi zmian. Atak na konto = atak na DNS.

5. DNSSEC: Nie zatrzyma tego, ale blokuje spoofing.

6. CDN pod lupą: W CloudFlare włącz logi i alerty na modyfikacje DNS.

Szerszy obraz: DNS to infrastruktura, nie forteca

Ten PoC przypomina: DNS budowano dla niezawodności, nie bezpieczeństwa. Prosty, dlatego działa. Ale prostota kusi exploitery.

To nie teoria. Grupy państwowe pewnie już to robią. DOOM to alarm – łatwe, skuteczne, bez śladów.

Co dalej dla obrońców

DNS jako front: To nie plumbing, to kanał ataku.

Zero-trust dla DNS: Monitoruj wewnętrzny jak zewnętrzny.

Narzędzia DNS: Firewalle, detekcja anomalii, intel – obowiązkowe.

Szkolenia: SOC musi wiedzieć o weaponizacji DNS. Architekci – wpleć w threat model.

Dla klientów NameOcean: solidne kontrole, pełne logi, monitoring zmian DNS. Jesteśmy po twojej stronie.

Rekordy TXT wydają się nudne. Ale mogą być bramą dla ataków. Obserwuj je.

Widziałeś podejrzany ruch DNS? Jak monitorujecie bezpieczeństwo w firmie? Dajcie znać w komentarzach.