DNS como Arma: Os Registros TXT do Seu Domínio São um Ponto Cego de Segurança

DNS parece coisa de técnico chato. Aquela estrutura invisível que transforma google.com em um IP. Ninguém liga muito para isso nas equipes de segurança. E é aí que mora o perigo.

Um teste recente prova o que vai deixar qualquer time de SOC sem dormir: registros TXT do DNS viraram um sistema completo para entregar aplicativos. Não é mais só guardar senhas ou roubar dados. Agora é possível enviar softwares inteiros, com todas as dependências, só por consultas DNS. Tudo isso sem alertar defesas tradicionais baseadas em arquivos.

O Problema dos Registros TXT no DNS

Vamos aos fatos básicos. TXT records surgiram para coisas úteis, como SPF, DKIM e DMARC no email. São campos de texto simples, sem validação pesada. O protocolo não questiona o conteúdo. Prático, mas um erro grave.

Veja por que eles preocupam:

Estão em todo lugar: Todo domínio os tem. Todo registrador permite. Fazem parte do DNS básico.

Capacidade enorme: Uma zona DNS suporta milhares de TXT, cada um com até 2.000 caracteres.

Cache global: DNS público fica espalhado pelo mundo, em caches de ISPs, empresas e CDNs.

Invisível para investigações: Quando foi a última vez que sua equipe checou logs antigos de TXT? Ninguém faz isso.

Acesso livre: Qualquer um consulta sem login ou rastro extra.

Resultado? Um sistema grátis de distribuição de arquivos, em cache global, disfarçado de tráfego DNS normal. Perfeito para quem ataca.

De Shellcode Simples a Aplicativos Completos

A coisa evoluiu rápido. No começo, pesquisadores usavam TXT para esconder shellcode – código malicioso em Base64, ativado na hora. Fácil de montar e quase impossível de detectar, já que ninguém fuzila consultas DNS antigas.

Mas dá para ir além. Se cabe um payload, cabe um arquivo. Se cabe um, cabem vários. Se cabem vários, cabe um app inteiro.

O PoC que está bombando na comunidade de segurança leva isso ao extremo: carrega um motor completo do DOOM via TXT records. São 1.966 registros, cada um com pedaços codificados. Tudo montado na memória, sem tocar no disco. Um jogo funcional rodando do zero.

Imagine: seu domínio entregando um minerador de crypto, Office ou shell reverso. Sem rastros no filesystem para EDRs pegarem.

Como o Ataque Funciona na Prática

O esquema é direto:

Codificação: Pegue o binário do app (ou WAD do DOOM). Comprima forte. Codifique em Base64.

Divisão: Corte em pedaços de 2.000 caracteres. Cada pedaço vira um TXT record.

Índice: Um registro mestre lista quantos pedaços e a ordem de montagem.

Busca: O malware consulta os pedaços um a um via DNS. Recebe e junta na RAM.

Execução: Carrega direto na memória. Para .NET, usa reflection no bytecode cru.

Do ponto de vista do atacante, é genial. Parece tráfego DNS comum. Milhares de queries diárias no SOC? Mais algumas não chamam atenção.

Por Que Suas Defesas Não Pegam Isso

A maioria dos controles foca em:

• Detecção por arquivos: Regras YARA, hashes e behaviors precisam de algo no disco. Memória pura ignora tudo.
• Assinaturas de rede: Queries DNS normais. Muitas com DoH/DoT criptografados. Payload em pedaços parece texto legítimo.
• Reputação de domínio: Atacante usa seu próprio domínio, de cliente ou um limpo com tráfego normal.
• Logs de DNS: Empresas guardam só 24-48 horas. Quando nota, o histórico sumiu.

O Que Usuários da NameOcean Precisam Saber

Na NameOcean, segurança de domínio é prioridade. Mas transparência vem primeiro. Ação agora:

1. Revise seus TXT: Cheque todos os registros nas zonas DNS. Anote tudo. Alerte mudanças inesperadas.

2. Monitore DNS de verdade: Não só logue queries. Analise padrões: subdomínios repetidos, volumes altos, respostas com cara de Base64.

3. Filtre DNS: Ative segurança DNS no gateway ou endpoint. Soluções modernas flagram padrões estranhos.

4. Proteja o registrador: MFA obrigatório. Limite acessos. Logue toda alteração. Se invadem sua zona, vira arma.

5. Ative DNSSEC: Não para isso, mas bloqueia spoofing relacionado.

6. Fique de olho no cache edge: Com CDN como CloudFlare? Logue e alerte mods DNS suspeitos.

DNS: Infraestrutura, Não Segurança

Esse PoC escancara a real: DNS prioriza uptime, não defesa. É tech antigo, simples e eficiente. Mas essa simplicidade vira brecha.

Não é teoria. Atores avançados já usam DNS assim. O DOOM é só um alerta: fácil, funcional e sem rastro.

O Que Fazer Agora

Para defensores:

DNS é superfície de ataque. Pare de tratar como encanamento. É canal de entrega.

Zero-trust no DNS. Monitore interno como tráfego externo.

Ferramentas específicas: Firewalls DNS, detecção de anomalias e intel dedicada. Essencial.

Treine o time. SOC precisa saber que DNS arma ataques. Arquitetos: inclua no threat model.

Na NameOcean, damos controles robustos, logs completos e auditoria total nos DNS. Seu domínio fica seguro.

TXT records parecem inofensivos. Mas abrem portas para ataques refinados. Fique atento.

Já viu atividade DNS estranha na sua infra? O que sua empresa faz para monitorar segurança DNS? Comente abaixo.