DNS как оружие: Почему TXT-записи в вашем домене — слепая зона безопасности

DNS кажется скучной основой интернета. Просто преобразует example.com в IP-адрес. Никто не думает о нём как об угрозе. И это главная ошибка.

Недавний proof-of-concept показал: TXT-записи DNS могут раздавать полноценные приложения. Не просто пароли или данные. Целые программы с зависимостями — прямо через DNS-запросы. Обходят все файловые защиты.

Проблема с TXT-записями в DNS

TXT-записи придумали для проверки email: SPF, DKIM, DMARC. Это просто текстовые поля без строгой проверки. Протокол не смотрит, что внутри. Удобно, но опасно.

Почему они уязвимы:

Везде есть: У любого домена. Поддерживают все регистраторы.

Большой объём: В зоне тысячи записей по 2000 символов каждая.

Кэширование: DNS кэшируют провайдеры, компании, CDN по всему миру.

Невидимы для анализа: Кто хранит историю TXT-записей? Никто не проверяет.

Открыты всем: Запросить может любой. Без авторизации и логов.

Получается бесплатная сеть для доставки файлов. Распределённая, кэшированная, незаметная. Выглядит как обычный DNS-трафик.

От шеллкода к полным приложениям

Сначала хакеры прятали шеллкод в TXT — base64-код, который запускается на лету. Просто, работает, не ловится.

Но можно больше. Хранишь один файл — хранишь архив. Архив — целое приложение.

В proof-of-concept загрузили весь движок DOOM из DNS. 1966 TXT-записей с кусками данных. Собирают в памяти, запускают без диска. Полная игра.

Представьте: через ваш домен раздают майнер, Office или шелл. Без следов на диске. EDR не увидит.

Как это работает на деле

Всё просто:

Кодирование: Бинарник сжимают, base64-кодируют.

Разбиение: На куски по 2000 символов. Каждый — TXT-запись.

Индекс: Одна запись с метаданными — сколько кусков, порядок.

Получение: Malware запрашивает по порядку. Куски приходят.

Сборка и запуск: В памяти собирают. Для .NET — рефлексия загружает байткод.

Трафик — обычные DNS-запросы. SOC видит тысячи в день. Ещё пара сотен — не заметно. Особенно с DoH/DoT.

Почему защиты не сработают

Обычный мониторинг слеп:

• По файлам: YARA, хэши, поведение — всё на диске. В памяти не видно.

• Сигнатуры сети: Запросы нормальные. Данные — текст.

• Репутация доменов: Используют ваш домен или нормальный.

• Логи DNS: Хранят 1-2 дня. Потом следы стираются.

Что важно пользователям NameOcean

Мы в NameOcean серьёзно относимся к безопасности доменов. Но прозрачность важнее. Действуйте так:

1. Проверьте TXT: Осмотрите все записи. Зафиксируйте. Настройте алерты на изменения.

2. Мониторьте DNS: Логи + анализ. Ищите повторные запросы, объёмы, base64 в ответах.

3. Фильтры DNS: Внедрите на шлюзах или эндпоинтах. Ловят аномалии.

4. Защитите аккаунт: MFA, ограничьте доступ, логируйте правки.

5. DNSSEC: Не остановит, но защитит от подмены.

6. Следите за кэшем: В CDN вроде CloudFlare — логи и алерты на DNS-изменения.

DNS — инфраструктура, а не защита

Proof-of-concept напоминает: DNS делали для надёжности, не безопасности. Простота — его сила и слабость.

Угроза реальна. Государственные хакеры уже используют. DOOM — просто демонстрация. Легко, эффективно, без улик.

Что делать дальше

DNS — поверхность атаки. Мониторьте как внешний трафик.

Zero-trust для DNS. Внутренний тоже под прицелом.

Инструменты: DNS-firewall, anomaly detection, threat intel.

Обучайте команду. SOC должен знать о таких трюках.

Для пользователей NameOcean: мы даём контроль доступа, полные логи, аудит DNS. Ваш домен в безопасности.

TXT-записи кажутся безобидными. Но они — дверь для атак. Следите за ними.

Видели подозрительный DNS-трафик? Как мониторите безопасность в вашей инфраструктуре? Пишите в комментариях.