Penyelidik keselamatan telah menemui vektor serangan canggih baharu yang mengubah Sistem Nama Domain asas internet menjadi mekanisme penghantaran tersembunyi untuk perisian hasad. Penemuan ini menyerlahkan bagaimana penjenayah siber mengeksploitasi infrastruktur rangkaian yang paling asas untuk memintas langkah keselamatan tradisional.
Rekod DNS Menjadi Hos Perisian Hasad Yang Tidak Dijangka
Sistem Nama Domain, yang menterjemahkan alamat laman web yang boleh dibaca manusia kepada alamat IP, telah menjadi tempat persembunyian yang tidak dijangka untuk kod hasad. Penyelidik DomainTools menemui bahawa penyerang telah membenamkan fail boleh laku terus dalam rekod DNS TXT, yang biasanya digunakan untuk tujuan sah seperti pengesahan domain. Teknik ini mengeksploitasi fakta bahawa rekod TXT boleh menyimpan data teks sewenang-wenangnya, menjadikannya saluran tersembunyi yang ideal untuk perisian hasad yang dikodkan.
Penyiasatan bermula selepas laporan terdahulu muncul mengenai penggodam yang menyembunyikan imej dalam rekod DNS. DomainTools meluaskan carian mereka untuk mencari bait fail ajaib - pengecam heksadesimal yang menandakan permulaan fail boleh laku. Pengimbasan sistematik mereka mendedahkan beberapa kejadian serpihan perisian hasad yang diedarkan merentasi beratus-ratus subdomain yang dimiliki oleh domain yang sama.
Cabaran Pengesanan:
- Penyulitan DNS over HTTPS dan DNS over TLS mengaburkan trafik hasad
- Alat keselamatan tradisional tidak dapat memeriksa permintaan DNS yang disulitkan
- Pendekatan berpecah-belah menjadikan pengecaman corak sukar dilakukan
- Pengesanan bait fail ajaib memerlukan teknik pengimbasan khusus
Pembinaan Semula Perisian Hasad Berkuasa AI
Aspek yang paling membimbangkan dalam serangan ini melibatkan penggunaan kecerdasan buatan untuk mengautomasikan proses pemasangan perisian hasad. Penyelidik mendapati bahawa penyerang telah memecahkan fail binari hasad kepada beratus-ratus serpihan berkod heksadesimal, setiap satu disimpan dalam subdomain DNS yang berasingan. Penjenayah siber kemudiannya memanfaatkan perkhidmatan AI generatif untuk mencipta skrip yang mampu memasang semula serpihan-serpihan ini secara automatik menjadi perisian hasad yang berfungsi.
Teknik ini menunjukkan tahap kecanggihan baharu dalam pengedaran perisian hasad. Dengan memecahkan kod hasad merentasi berbilang rekod DNS, penyerang menjadikan pengesanan jauh lebih sukar untuk alat keselamatan tradisional. Binari yang dibina semula sepadan dengan hash SHA-256 yang dikenali bagi perisian hasad Joke Screenmate , yang boleh mengganggu prestasi sistem dan memaparkan mesej ralat palsu kepada pengguna.
Metodologi Serangan:
- Perisian hasad dipecahkan kepada beratus-ratus kepingan yang dikodkan secara heksadesimal
- Setiap kepingan disimpan dalam rekod DNS TXT yang berasingan merentasi subdomain
- Skrip yang dijana AI digunakan untuk menyusun semula kepingan menjadi perisian hasad yang berfungsi
- Infrastruktur kawalan-dan-arahan tertanam dalam rekod DNS
 |
|---|
| Imej ini menggambarkan infrastruktur rangkaian yang kompleks yang mungkin terlibat dalam penghantaran dan pemasangan perisian hasad secara rahsia melalui DNS |
Penemuan Infrastruktur Kawalan dan Perintah
Selain perisian hasad yang berpecah-belah, penyelidik DomainTools menemui ancaman tambahan yang tertanam dalam infrastruktur DNS. Mereka menemui skrip PowerShell berkod yang tersembunyi dalam rekod DNS yang bersambung kepada pelayan kawalan-dan-perintah yang dikaitkan dengan rangka kerja Covenant . Kit alat pasca-eksploitasi yang sah ini kerap digunakan semula oleh pelaku ancaman untuk mewujudkan akses berterusan kepada sistem yang terjejas.
Kehadiran sambungan kawalan-dan-perintah ini menunjukkan bahawa sistem penghantaran perisian hasad berasaskan DNS boleh berfungsi sebagai sebahagian daripada rantaian serangan berbilang peringkat yang lebih besar. Setelah muatan awal dihantar dan dilaksanakan, skrip PowerShell boleh memudahkan muat turun komponen hasad tambahan.
Jenis Perisian Hasad yang Ditemui:
- Perisian hasad Joke/ScreenMate (tempoh masa 2021-2022)
- Skrip PowerShell yang menyambung kepada rangka kerja Covenant C2
- fail boleh laku dengan cincangan SHA-256 yang boleh dikenal pasti
Teknologi Penyulitan Merumitkan Pengesanan
Penggunaan protokol DNS yang disulitkan yang semakin meluas menimbulkan cabaran tambahan untuk profesional keselamatan. DNS melalui HTTPS dan DNS melalui TLS, walaupun meningkatkan privasi dan keselamatan dalam kes penggunaan yang sah, juga memberikan perlindungan untuk aktiviti hasad. Ian Campbell dari DomainTools menekankan bahawa teknologi penyulitan ini menjadikannya hampir mustahil bagi organisasi untuk memeriksa trafik DNS untuk kandungan yang mencurigakan.
Melainkan organisasi melaksanakan resolusi DNS dalam rangkaian mereka sendiri, mereka tidak dapat memeriksa permintaan DNS sebenar atau menentukan sama ada ia mengandungi muatan hasad. Titik buta ini mewujudkan peluang menarik bagi penjenayah siber untuk menyeludup perisian hasad melepasi kebanyakan sistem pengesanan.
Implikasi untuk Keselamatan Rangkaian
Penemuan ini mewakili evolusi ketara dalam metodologi serangan, menunjukkan bahawa tiada komponen infrastruktur internet yang terlalu biasa untuk dieksploitasi. Sifat DNS yang ada di mana-mana dan peranan penting dalam sambungan internet menjadikannya vektor ideal untuk pengedaran perisian hasad secara senyap. Pasukan keselamatan kini mesti menganggap trafik DNS sebagai vektor ancaman yang berpotensi dan melaksanakan mekanisme pemantauan dan penapisan yang sesuai.
Penggunaan AI untuk mengautomasikan proses pemasangan perisian hasad juga menandakan trend yang lebih luas ke arah teknik serangan yang lebih canggih dan automatik. Apabila alat kecerdasan buatan menjadi lebih mudah diakses, penjenayah siber berkemungkinan akan memasukkannya ke dalam pelbagai aspek operasi mereka, dari peninjauan awal hingga penghantaran muatan dan aktiviti pasca-eksploitasi.