นักวิจัยด้านความปลอดภัยได้เปิดเผยเวกเตอร์การโจมตีใหม่ที่ซับซ้อน ซึ่งเปลี่ยน Domain Name System พื้นฐานของอินเทอร์เน็ตให้กลายเป็นกลไกการส่งมอบซอฟต์แวร์ที่เป็นอันตรายอย่างลับๆ การค้นพบนี้เน้นย้ำให้เห็นว่าอาชญากรไซเบอร์กำลังใช้ประโยชน์จากโครงสร้างพื้นฐานเครือข่ายที่พื้นฐานที่สุดเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยแบบดั้งเดิม
DNS Records กลายเป็นโฮสต์มัลแวร์ที่ไม่คาดคิด
Domain Name System ซึ่งแปลที่อยู่เว็บไซต์ที่มนุษย์อ่านได้เป็นที่อยู่ IP ได้กลายเป็นที่ซ่อนโค้ดที่เป็นอันตรายอย่างไม่น่าเชื่อ นักวิจัยจาก DomainTools ค้นพบว่าผู้โจมตีกำลังฝังไฟล์ที่สามารถเรียกใช้ได้โดยตรงภายใน DNS TXT records ซึ่งโดยปกติจะใช้เพื่อวัตถุประสงค์ที่ถูกต้องตามกฎหมาย เช่น การตรวจสอบโดเมน เทคนิคนี้ใช้ประโยชน์จากข้อเท็จจริงที่ว่า TXT records สามารถเก็บข้อมูลข้อความใดๆ ก็ได้ ทำให้เป็นช่องทางลับที่เหมาะสำหรับมัลแวร์ที่เข้ารหัส
การสืบสวนเริ่มต้นขึ้นหลังจากรายงานก่อนหน้านี้เผยแพร่เกี่ยวกับแฮกเกอร์ที่ซ่อนรูปภาพใน DNS records DomainTools ขยายการค้นหาของพวกเขาเพื่อมองหา magic file bytes - ตัวระบุเลขฐานสิบหกที่ทำเครื่องหมายจุดเริ่มต้นของไฟล์ที่สามารถเรียกใช้ได้ การสแกนอย่างเป็นระบบของพวกเขาเผยให้เห็นกรณีหลายกรณีของส่วนย่อยมัลแวร์ที่กระจายไปทั่วซับโดเมนหลายร้อยแห่งที่เป็นของโดเมนเดียวกัน
ความท้าทายในการตรวจจับ:
- การเข้ารหัส DNS over HTTPS และ DNS over TLS ทำให้การรับส่งข้อมูลที่เป็นอันตรายถูกปกปิด
- เครื่องมือรักษาความปลอดภัยแบบดั้งเดิมไม่สามารถตรวจสอบคำขอ DNS ที่เข้ารหัสได้
- แนวทางที่แยกส่วนทำให้การจดจำรูปแบบเป็นเรื่องยาก
- การตรวจจับ magic file bytes ต้องใช้เทคนิคการสแกนเฉพาะทาง
การสร้างมัลแวร์ใหม่ที่ขับเคลื่อนด้วย AI
แง่มุมที่น่ากังวลที่สุดของการโจมตีนี้เกี่ยวข้องกับการใช้ปัญญาประดิษฐ์เพื่อทำให้กระบวนการประกอบมัลแวร์เป็นไปโดยอัตโนมัติ นักวิจัยพบว่าผู้โจมตีได้แบ่งไฟล์ไบนารีที่เป็นอันตรายออกเป็นส่วนย่อยที่เข้ารหัสเลขฐานสิบหกหลายร้อยส่วน โดยแต่ละส่วนจะถูกเก็บไว้ในซับโดเมน DNS ที่แยกจากกัน จากนั้นอาชญากรไซเบอร์ก็ใช้ประโยชน์จากบริการ AI แบบ generative เพื่อสร้างสคริปต์ที่สามารถประกอบส่วนย่อยเหล่านี้ใหม่เป็นมัลแวร์ที่ใช้งานได้โดยอัตโนมัติ
เทคนิคนี้แสดงให้เห็นถึงระดับความซับซ้อนใหม่ในการกระจายมัลแวร์ การแบ่งโค้ดที่เป็นอันตรายออกเป็นหลาย DNS records ทำให้ผู้โจมตีสามารถทำให้การตรวจจับยากขึ้นอย่างมากสำหรับเครื่องมือรักษาความปลอดภัยแบบดั้งเดิม ไฟล์ไบนารีที่สร้างขึ้นใหม่ตรงกับ SHA-256 hashes ที่รู้จักของมัลแวร์ Joke Screenmate ซึ่งสามารถรบกวนประสิทธิภาพของระบบและแสดงข้อความแสดงข้อผิดพลาดปลอมให้กับผู้ใช้
วิธีการโจมตี:
- มัลแวร์ถูกแบ่งเป็นชิ้นส่วนเล็กๆ หลายร้อยชิ้นที่เข้ารหัสด้วย hexadecimal
- แต่ละชิ้นส่วนถูกเก็บไว้ในระเบียน DNS TXT แยกกันในแต่ละ subdomain
- ใช้สคริปต์ที่สร้างโดย AI เพื่อประกอบชิ้นส่วนกลับเป็นมัลแวร์ที่ใช้งานได้
- โครงสร้างพื้นฐานสำหรับการควบคุมและสั่งการถูกฝังไว้ในระเบียน DNS
 |
|---|
| ภาพแสดงให้เห็นโครงสร้างพื้นฐานเครือข่ายที่ซับซ้อนซึ่งอาจเกี่ยวข้องกับการส่งมอบและประกอบมัลแวร์แบบลับๆ ผ่าน DNS |
การค้นพบโครงสร้างพื้นฐาน Command and Control
นอกเหนือจากมัลแวร์ที่แบ่งส่วนแล้ว นักวิจัยจาก DomainTools ยังเปิดเผยภัยคุกคามเพิ่มเติมที่ฝังอยู่ภายในโครงสร้างพื้นฐาน DNS พวกเขาค้นพบสคริปต์ PowerShell ที่เข้ารหัสซ่อนอยู่ใน DNS records ที่เชื่อมต่อกับเซิร์ฟเวอร์ command-and-control ที่เกี่ยวข้องกับเฟรมเวิร์ก Covenant เครื่องมือ post-exploitation ที่ถูกต้องตามกฎหมายนี้มักถูกนำไปใช้ใหม่โดยผู้คุกคามเพื่อสร้างการเข้าถึงที่ยั่งยืนไปยังระบบที่ถูกบุกรุก
การมีอยู่ของการเชื่อมต่อ command-and-control เหล่านี้ชี้ให้เห็นว่าระบบการส่งมอบมัลแวร์ที่ใช้ DNS อาจทำหน้าที่เป็นส่วนหนึ่งของห่วงโซ่การโจมตีหลายขั้นตอนที่ใหญ่กว่า เมื่อ payload เริ่มต้นถูกส่งมอบและดำเนินการแล้ว สคริปต์ PowerShell สามารถอำนวยความสะดวกในการดาวน์โหลดส่วนประกอบที่เป็นอันตรายเพิ่มเติม
ประเภทของมัลแวร์ที่ค้นพบ:
- มัลแวร์ประเภท Joke/ScreenMate (ช่วงเวลา 2021-2022)
- สคริปต์ PowerShell ที่เชื่อมต่อกับเฟรมเวิร์ก Covenant C2
- ไฟล์ปฏิบัติการที่มีแฮช SHA-256 ที่สามารถระบุได้
เทคโนโลยีการเข้ารหัสทำให้การตรวจจับซับซ้อนขึ้น
การนำโปรโตคอล DNS ที่เข้ารหัสมาใช้อย่างแพร่หลายทำให้เกิดความท้าทายเพิ่มเติมสำหรับผู้เชี่ยวชาญด้านความปลอดภัย DNS over HTTPS และ DNS over TLS แม้ว่าจะปรับปรุงความเป็นส่วนตัวและความปลอดภัยในกรณีการใช้งานที่ถูกต้องตามกฎหมาย แต่ก็ให้การปกป้องสำหรับกิจกรรมที่เป็นอันตรายด้วย Ian Campbell จาก DomainTools เน้นย้ำว่าเทคโนโลยีการเข้ารหัสเหล่านี้ทำให้เกือบเป็นไปไม่ได้สำหรับองค์กรในการตรวจสอบการรับส่งข้อมูล DNS เพื่อหาเนื้อหาที่น่าสงสัย
เว้นแต่องค์กรจะใช้การแก้ไข DNS ในเครือข่ายของตนเอง พวกเขาไม่สามารถตรวจสอบคำขอ DNS จริงหรือกำหนดว่าพวกเขามี payload ที่เป็นอันตรายหรือไม่ จุดบอดนี้สร้างโอกาสที่น่าดึงดูดสำหรับอาชญากรไซเบอร์ในการลักลอบนำมัลแวร์ผ่านระบบตรวจจับส่วนใหญ่
ผลกระทบต่อความปลอดภัยของเครือข่าย
การค้นพบนี้แสดงถึงวิวัฒนาการที่สำคัญในวิธีการโจมตี โดยแสดงให้เห็นว่าไม่มีส่วนประกอบใดของโครงสร้างพื้นฐานอินเทอร์เน็ตที่ธรรมดาเกินไปที่จะถูกใช้ประโยชน์ ลักษณะที่แพร่หลายของระบบ DNS และบทบาทสำคัญในการเชื่อมต่ออินเทอร์เน็ตทำให้เป็นเวกเตอร์ที่เหมาะสำหรับการกระจายมัลแวร์อย่างลับๆ ทีมรักษาความปลอดภัยต้องพิจารณาการรับส่งข้อมูล DNS เป็นเวกเตอร์ภัยคุกคามที่อาจเกิดขึ้นและใช้กลไกการตรวจสอบและการกรองที่เหมาะสม
การใช้ AI เพื่อทำให้กระบวนการประกอบมัลแวร์เป็นไปโดยอัตโนมัติยังส่งสัญญาณถึงแนวโน้มที่กว้างขึ้นไปสู่เทคนิคการโจมตีที่ซับซ้อนและเป็นไปโดยอัตโนมัติมากขึ้น เมื่อเครื่องมือปัญญาประดิษฐ์เข้าถึงได้มากขึ้น อาชญากรไซเบอร์มีแนวโน้มที่จะรวมเครื่องมือเหล่านี้เข้าไปในแง่มุมต่างๆ ของการดำเนินงาน ตั้งแต่การสำรวจเบื้องต้นไปจนถึงการส่งมอบ payload และกิจกรรม post-exploitation