Kyberrikolliset ovat ottaneet käyttöön uuden ja ovelan tavan levittää haittaohjelmia – hyödyntämällä DNS-tietueita tiedon piilottamiseen ja siirtämiseen. Tämänhetkisten havaintojen mukaan erityisesti DNS TXT -tietueita käytetään hyväksi, ja ne tarjoavat rikollisille mahdollisuuden ohittaa perinteiset suojausmenetelmät täysin huomaamattomasti.
DNS eli Domain Name System on järjestelmä, joka yhdistää verkkotunnukset IP-osoitteisiin. Se on kriittinen osa internetin toimintaa, mutta jää usein vähälle huomiolle kyberturvasuojauksissa. DNS-liikennettä ei useimmissa ympäristöissä tarkasteta samalla tavalla kuin esimerkiksi verkkoselailua tai sähköposteja – ja juuri tätä aukkoa uhkatoimijat nyt hyödyntävät.
Haittakoodi TXT-tietueissa
Kyseessä ei ole uusi ajatus, mutta toteutustapa on kehittynyt: nyt haitallisia tiedostoja muunnetaan heksadesimaalimuotoon ja pilkotaan useisiin osiin. Jokainen osa tallennetaan eri DNS TXT -tietueeseen, jotka löytyvät aliverkkotunnusten kautta. Esimerkiksi osoitteessa 15392.484f5fa5d2.dnsm.in.drsmitty[.]com on havaittu haitallista PowerShell-koodia TXT-tietueessa.
Kun haittakoodi suoritetaan uhrin järjestelmässä, se tekee DNS-kyselyjä näihin aliverkkotunnuksiin, kerää palaset yhteen ja suorittaa koottuna lopullisen haittaohjelman. Tämä tapahtuu ilman, että mitään ladataan epäilyttävältä verkkosivulta tai vastaanotetaan sähköpostin liitteenä. Lopputuloksena haittakoodi kiertää tehokkaasti virustorjunnan, sähköpostisuodatuksen ja monet verkkosuojaukset.
Miksi tämä toimii?
DNS-liikenne näyttää usein tavalliselta eikä sisällä näkyvää haittaa. Siksi se jää monesti ilman tarkempaa tarkastelua. Kun rikolliset piilottavat tiedostoja DNS TXT -kenttiin, ne voivat säilyä siellä pitkään, ellei DNS-palvelin niitä poista. Tämä tekee menetelmästä paitsi tehokkaan myös pitkäikäisen.
Miten voit suojautua?
Suomi Solutions auttaa asiakkaitaan tunnistamaan ja estämään tällaisia poikkeamia verkossa. Suosittelemme seuraavia toimenpiteitä:
-
Valvo DNS-liikennettä ja tunnista epänormaalit kuviot, kuten toistuvat pyynnöt epäilyttäviin aliverkkotunnuksiin.
-
Analysoi TXT-tietueet, erityisesti jos ne sisältävät pitkiä ja kryptisiä merkkijonoja.
-
Estä tunnetut haitalliset DNS-alueet, esimerkiksi edellä mainittu
drsmitty[.]com. -
Käytä passiivista DNS-tiedustelua ja uhkatiedustelupalveluita (esim. DNSDB), joiden avulla voit tunnistaa haittakäyttöä.
Kyberrikollisuus ei lepää, ja menetelmät kehittyvät jatkuvasti. Suomi Solutions on asiakkaidensa tukena myös näissä uusissa uhissa. Jos haluat tarkastella organisaatiosi DNS-liikenteen suojaustasoa tai epäilet haitallista toimintaa verkossasi, ota yhteyttä, me autamme.
