在当前数字化高速发展的时代,网络安全威胁层出不穷,攻击者不断创新手法以躲避传统安全检测。其中,域名系统(DNS)作为互联网的基础服务,其安全隐患愈发引人关注。近年来,研究人员发现一种新颖的恶意软件传播和隐藏方式,即利用DNS的TXT记录进行恶意软件存储和指令传递。此类手段不仅使恶意软件更难被传统安全机制检测到,也增添了防御的复杂性和挑战性。 DNS是什么?作为互联网名称解析的核心体系,DNS负责将人类可读的域名转换为计算机能理解的IP地址,为访问网站和其他网络资源提供基础支持。然而,DNS协议的设计更多注重效率和灵活性,而非安全,这为恶意行为提供了利用空间。
传统角度来看,DNS主要用于解析域名和传递简单的文本信息,而在TXT记录中存储任意文本数据则为攻击者提供了隐藏数据的潜在途径。近期研究显示,某些攻击者将恶意软件的文件切割成多个片段,通过将这些片段编码为十六进制后,存储在域名的TXT记录中。每个子域名对应文件的不同部分,通过序号进行排序。攻击者或恶意软件可以通过DNS查询依次获取这些碎片,重组恢复完整文件,实现“恶意文件通过DNS存储和传输”的功能。 这一技术的核心优势在于文件数据的持久存储能力。因DNS服务器默认会将TXT记录缓存一定时间,文件片段只要未被删除或覆盖,就能长期存在。
这对传统安全系统构成巨大挑战,因为大多数监控措施并未对DNS TXT记录中的数据内容进行深入检测。此外,将文件隐藏在DNS流量中,也能有效绕过基于流量的检测机制。 研究人员在2021至2022年对多个域名进行了分析,发现TXT记录中存在特定的“魔术字节”(magic bytes)序列,也就是不同文件格式的文件头标识,例如常见的可执行文件(.exe)、图像文件(JPEG, PNG)、压缩文件等的头部十六进制特征。这表明攻击者不仅在DNS中存储恶意可执行文件,还有可能存储其他类型文件。值得注意的是,同样的可执行文件头数据在多个具有相似子域名结构的域名下重复出现,表明有组织化的文件分片和恢复机制。 以一个域名为例,多个按照连续整数编号的子域名分别储存不同的文件片段,通过导出TXT记录的json数据,结合人工智能辅助编写的自动重组脚本,成功恢复出完整的恶意文件。
经哈希校验,该文件与知名的“Joke Screenmate”恶意软件相符。这类软件本质上属于捣蛋类恶意程序,模拟破坏行为,如显示伪造的错误信息、虚假的病毒警告或是假装删除系统文件,通常导致用户惊慌失措。部分Screenmate程序在运行时会干扰用户操作,例如难以关闭窗口、自动复制或逃避鼠标指针,甚至不断弹出笑话或动画,严重影响用户体验。虽然这类恶意软件对于系统的破坏性不如传统勒索或数据窃取软件严重,但其消耗系统资源和制造的混乱足以对日常使用造成困扰,甚至间接助长更高级攻击的破坏环境。 除了存储恶意执行文件外,还观察到了更为隐蔽的危险行为。一些DNS TXT记录中藏有编码的PowerShell脚本,其作用是作为恶意软件的“中继”或“起始加载器”(stager)。
举例来说,某些子域的TXT记录包含加密的脚本内容,该脚本进一步连接远程命令控制(C2)服务器,例如Covenant C2平台,获取后续的恶意载荷进行执行。这意味着攻击者能够通过DNS隐蔽地发送恶意指令并控制感染主机,一旦系统上运行了相关的DNS查询调用或脚本,整个攻击链便能顺利执行。 这种利用DNS TXT记录传递攻击指令的方式极其隐蔽。相比传统通过HTTP、HTTPS或邮件传播恶意代码,DNS流量通常不易被严格审查,尤其是在企业和个人设备默认通过系统DNS进行域名解析时。另外,DNS协议本身的分布式和缓存特性,使得恶意命令能迅速传播且持续有效。 攻击者行为的隐晦与持续时间长短不一,显示出其高度的策略性。
例如相同C2服务器域名曾在2017年就出现在另一个可疑域名的DNS TXT记录内,说明攻击活动可能跨年份,甚至横跨多个攻击目标。由此可见,利用DNS渠道存储和传播恶意软件及控制指令已成为一种成熟且隐蔽的攻击路径。 面对DNS中隐藏恶意软件的新威胁,网络安全防御同样需做出创新和调整。首要措施是加强DNS流量的监控和分析,采用深度包检测技术或基于行为的智能算法,识别异常的TXT记录数据,特别是含有可疑十六进制文件头的内容。此外,通过结合威胁情报共享,可以快速发现类似攻击行为的域名和IP,及时封堵和阻断。 网络管理员与安全人员还应该关注DNS服务器的配置安全,避免不必要的TXT记录写入权限,定期清理过时或异常的记录。
采用安全DNS解析服务、配置DNSSEC(DNS安全扩展)以防止DNS欺骗等机制,也可以有效提高整体DNS的安全水平。 对终端用户而言,养成更新操作系统和安全软件的良好习惯,避免随意执行未知来源的脚本和程序,是阻断恶意软件进一步传播的重要环节。同时,通过端点检测与响应(EDR)工具,可以在恶意软件启动初期及时发现异常活动,降低损失风险。 总结来说,DNS作为互联网基础设施的重要组成部分,其安全性直接关系到整个网络生态的稳定。然而,由于DNS协议某些设计上的固有缺陷和灵活特性,攻击者利用DNS TXT记录进行恶意软件存储和隐蔽通信已成为现实且严重的安全威胁。对抗这一新型威胁需要技术手段与管理策略的多方协作。
只有不断提升DNS流量分析能力、加强威胁情报共享和提升用户安全意识,才能有效应对这类隐匿于DNS中的恶意软件威胁,守护网络安全环境的清朗和稳定。
