Autorii de coduri malițioase sunt suficient de creativi pentru a-și atinge obiectivele, folosind o varietate de trucuri pentru a ascunde coduri malițioase. Suntem obișnuiți cu bootkit-uri, dar nici codurile ascunse în procesor, BIOS, sau alte cache-uri permanente nu sunt o noutate. Dar ceea ce a fost descoperit recent arată că aproape nimic nu le poate opri, sunt atât de creativi. Vulnerabilitatea recent descoperită ar putea fi o cale de urmat nu numai pentru grupurile de hackeri în general, ci și pentru entități sponsorizate de state.

DNS este un sistem care asigură accesarea unui site prin nume, față de alternativa IP crud. Traducerea între cele două este efectuată de serverul de nume, complet neobservat de utilizatorul obișnuit. Serverele DNS stochează date referitoare la un anumit domeniu, de exemplu proprietarul, acestea fiind înregistrări în format text, care se pare că pot fi utilizate de infractorii cibernetici pentru a ascunde fragmente de cod rău intenționate. Acest lucru a ieșit la iveală atunci când a apărut un DNS care avea inclus în text codul pentru o imagine, pe care cercetătorii DomainTools l-au supus unor verificări. Pe baza rezultatelor investigației, se pare că înregistrările DNS TXT oferă o oportunitate de a ascunde fragmente de cod malițioase, coduri care se pare că există deja.

Conform descoperirii cercetătorilor, este posibil să se stocheze fragmente de cod în înregistrările DNS TXT prin conversia fișierelor binare executabile în șiruri hexazecimale, ceea ce reprezintă o posibilitate interesantă și foarte periculoasă. Cercetările ulterioare au vizat căutarea "octeților magici", care sunt identificatori speciali și sunt localizați în anteturile codului diferitelor fișiere executabile. Aceștia indică tipul de fișier, un identificator cu care sistemele de operare o recunosc și o tratează conform. Investigația a găsit și fișiere executabile (.exe) în mai multe subdomenii, toate aparținând aceluiași domeniu principal - fiecare cu un cod diferit. Au fost găsite sute de subdomenii care par să fie afectate, și contribuie la distribuția de programe malware, o metodă foarte ascunsă de majoritatea sistemelor de apărare.

Experții DomainTools suspectează că atacatorul a descompus un binar executabil în sute de fragmente codate hexazecimal, și apoi a stocat aceste fragmente în înregistrările DNS TXK ale diferitelor subdomenii. Aceste fragmente pot fi apoi reasamblate cu ajutorul inteligenței artificiale generative pentru a produce executabilul final. Cercetătorii au aplicat această metodă, și în mod interesant, rezultatul a fost un malware care distrează utilizatorul vizat cu diverse mesaje de eroare și alte trucuri, interacționează cu funcțiile normale ale sistemului, dar de fapt nu face nici un rău în afară de a fi enervant. O descriere completă a procesului poate fi găsită aici.

Se pare că acest malware "amuzant", era fructul unui grup care a dorit a demonstra potențialul de manipulare a înregistrărilor TXT DNS. Desigur, cercetătorii nu s-au oprit aici, deoarece munca ulterioară a dezvăluit un script PowerShell criptat legat de un server de control specific, parte a cadrului Covenant, pe care infractorii cibernetici preferă să îl utilizeze în atacurile lor odată ce au obținut acces la sistem. În esență, furnizează fișiere și funcționalități suplimentare pentru un atac, sporindu-i succesul și impactul.

Potrivit inginerilor DomainTools, propagarea programelor malware bazate pe DNS ar putea reprezenta o amenințare serioasă, mai ales pe măsură ce diverse tehnologii de criptare, cum ar fi rezoluția numelor prin HTTPS sau TLS, devin mai răspândite. Potrivit unui cercetător, Ian Campbell, problema constă în faptul că criptarea face practic imposibil să se știe ce solicitare este trimisă, cu atât mai puțin dacă are un conținut normal sau suspect. Singura excepție este atunci când sistemul de securitate local face rezolvarea numelui, într-un cadru controlat.

Prin urmare, aceste DNS-uri permit infractorilor cibernetici să transmită în mod eficient coduri malițioase pe care majoritatea sistemelor de apărare nu le detectează, făcând din DNS o alegere din ce în ce mai atractivă pentru infractorii cibernetici care doresc să distribuie în secret programe malware. Din păcate problema este mare și afectează un subsistem global, iar cercetătorii nu au abordat încă ce se poate face pentru a reduce suprafața de atac.