DNS som vapen: Varför TXT-poster i din domän är en säkerhetsrisk

DNS känns ofta som tråkig bakgrundsteknik. Den osynliga magin som förvandlar google.com till en IP-adress. Säkerhetsteam ignorerar den i regel. Det är precis problemet.

En ny proof-of-concept visar hur DNS TXT-poster kan bli ett helt system för att leverera applikationer. Inte bara lösenord eller datastöld. Här handlar det om fulla program med alla beroenden – levererat via DNS-frågor som slår ut vanliga filbaserade skydd.

Problemet med DNS TXT-poster

TXT-poster skapades för ärliga syften, som SPF, DKIM och DMARC för e-post. De är enkla textfält utan hård validering. Protokollet bryr sig inte om innehållet. Det är både smart och farligt.

Så här farliga är de:

Allestädesnärvaro: Varje domän kan ha dem. Alla registrars stödjer dem. De hör till DNS-livet.

Kapacitet: En DNS-zon rymmer tusentals poster, upp till 2 000 tecken per styck.

Cachning: Offentliga DNS-servrar cachar globalt vid edge-noder. Din ISP cachar. Företaget cachar. CDNs cachar.

Svårspårade: När kollade ditt säkerhetsteam gamla TXT-poster senast? Just det. Ingen gör det.

Öppen åtkomst: Vem som helst kan fråga efter dem. Inget lösen. Minimal loggning.

Resultatet? Ett gratis, globalt cachat, osynligt filsystem som ser ut som vanlig DNS-trafik. Drömmen för angripare.

Från shellcode till kompletta appar

Utvecklingen skrämmer. Först gömde forskare shellcode i TXT-poster – kodad i Base64, körd i realtid. Svårt att upptäcka, eftersom ingen granskar gamla DNS-svar.

Men varför nöja sig där?

En fil i en TXT-poster leder till fler filer. Fler filer blir en hel app. Den virala proof-of-concepten laddar en full DOOM-motor från 1 966 TXT-poster. Allt sätts ihop i minnet, körs utan att nudda disken.

Tänk efter. Din domän kunde leverera en cryptominer, Office-klon eller reverse shell – helt utan filspår som EDR-system jagar.

Så fungerar anfallet

Det är enklare än man tror:

Kodning: Komprimera appens binärfil (eller WAD-fil för DOOM). Base64-koda datan.

Dela upp: Skiva i 2 000-tecken-bitar. Varje bit en TXT-poster.

Index: En post listar antal bitar och ordning.

Leverans: Malware frågar efter bitarna i tur och ordning. Sätter ihop i minnet.

Körning: Ladda via reflection för .NET – direkt i processminnet, ingen disk.

Från angriparens syn? Ren DNS-trafik. Tusentals frågor dagligen. Fler hundra extra drunknar i bruset.

Varför dina skydd brister

Vanliga verktyg misslyckas:

• Filjakt: YARA, hashar och beteendeanalys behöver filer på disken. Minne körning kringgår allt.
• Nätverkssignaturer: DNS-frågor ser normala ut. DoH/DoT krypterar. Chunkade payloads liknar text.
• Domänrykte: Använd din egen domän, kundens eller en legitim en.
• Loggning: DNS-loggar rensas efter 1–2 dygn. Spåren försvinner.

Vad NameOcean-användare behöver veta

Vi på NameOcean prioriterar domänsäkerhet med öppenhet. Gör så här:

1. Granska TXT-poster: Kolla alla i dina zoner. Dokumentera. Alarmera på oväntade tillägg.

2. Övervaka DNS: Logga och analysera frågor. Sök mönster: upprepade subdomäner, hög volym, Base64-liknande svar.

3. DNS-filter: Sätt upp säkerhet vid gateway eller endpoint. Moderna lösningar fångar avvikelser.

4. Säkra registraren: MFA, begränsad åtkomst, logga alla ändringar. Kontrollerad zon = ingen attack.

5. DNSSEC: Stoppar inte detta, men skyddar mot spoofing.

6. CDN-övervakning: CloudFlare och liknande? Logga och alarmera DNS-förändringar.

Större perspektiv: DNS är infrastruktur, inte säkerhet

Proof-of-concepten visar sanningen: DNS byggdes för pålitlighet, inte säkerhet. Enkelheten gör det sårbart.

Hotet är verkligt. Statliga aktörer använder redan DNS-leverans. DOOM-exemplet är en varning – lätt att fixa, svårt att spåra.

Framåt

För försvaret:

Se DNS som attackyta. Inte bara rör. Ett leveransverktyg.

Zero-trust för DNS. Övervaka internt som externt.

Investera i verktyg. DNS-firewalls, anomalidetektion, hotinfo.

Utbilda teamet. SOC måste veta. Arkitekter ska modellera DNS som kritiskt.

NameOcean ger robusta kontroller, loggning och audit för dina DNS-ändringar.

Dina TXT-poster verkar tråkiga. Men de kan vara en bakdörr. Håll koll.

Sett misstänkta DNS-mönster? Hur övervakar din org DNS? Kommentera!