域名系统(DNS)是互联网的根基,承担着将人类可读的域名转换为机器可识别IP地址的关键任务。在这个庞大而复杂的系统中,DNS TXT记录本质上是用来存储任意文本信息的辅助数据,经常被用于邮件认证(例如SPF、DKIM、DMARC)和域名所有权验证。而ADAMnetworks近期的研究报告揭示,这类看似无害的TXT记录正被一部分黑客组织利用,悄无声息地传播恶意软件,给企业网络安全带来了前所未有的挑战。 传统的安全防御体系多聚焦于检测恶意软件的可执行文件、邮件附件或网络流量的异常行为,但DNS流量往往被默认为安全且无需深度检查。黑客正是利用了这一盲点,将恶意代码以十六进制或Base64编码的形式,分散存储在多个子域名的TXT记录中。被感染的设备通过普通的DNS查询将这些碎片请求回来,随后重新组装成完整的恶意软件程序,从而绕过防病毒软件、邮件过滤器及大多数防火墙的监控。
这种攻击方法不仅极具隐蔽性,还兼具灵活性,能够可持续地向受害设备推送更新的恶意代码,甚至可以通过DNS TXT记录承载指令和控制信息(C2),实现对被控系统的远程操控和数据窃取。据域名情报公司DomainTools的调查显示,早在2021至2022年期间,就有黑客利用TXT记录成功传播了名为ScreenMate的恶意软件以及多种Covenant C2框架相关的攻击工具。而Infoblox的分析进一步指出,通过控制权威DNS服务器,攻击者能够操纵DNS查询来建立稳定的通信渠道,形成"小巧但有效"的指令与控制系统。 这启示我们,DNS TXT记录这把本应用于正当用途的"瑞士军刀"正面临全面滥用的风险。ADAMnetworks创始人兼CEO David Redekop强调,攻击者通过DNS实现的"即席"恶意软件组装极大地规避了终端安全防护,使这部分网络流量成为传统防御网的盲区。 通过对过去一年中超过14000个唯一域名的DNS TXT记录查询数据进行分析,ADAMnetworks发现TXT记录的合法用途仍旧广泛且关键,这些包括邮件安全认证协议(SPF、DKIM、DMARC)、谷歌办公套件及SSL证书的域名所有权验证、S/MIME和TLSA的身份验证保障、自动化证书颁发协议ACME以及内容分发网络的地理定位优化等。
然而,在这其中也暴露出诸多可疑行为,包括暴露私有IP地址的查询、针对非公共后缀如"id.server"的异常请求,这些均有被进一步利用的潜在威胁。此外,像基于Android平台的SlowDNS等工具通过DNS隧道技术传输数据,其流量特征也在TXT记录查询中有所体现,暗示着数据外泄及隐秘通信的风险。 DomainTools与Infoblox的报告进一步佐证了TXT记录滥用的趋势,其中包括使用whitetreecollective[.]com等域名作为恶意软件碎片的存储点,以DNS查询为载体实现恶意代码的断片传输,以及部署诸如Cobalt Strike信标的攻击载体。 这些现象折射出DNS TXT记录的双刃剑本质 - - 既是网络功能正常运行的关键环节,又是隐藏复杂攻击行为的温床。值得关注的是,上述数据主要反映的是查询行为,而非一定成功的DNS响应查询,部分攻击企图因安全策略被及时阻断。 当前,DNS流量被普遍视作重要且可信的网络基础流量,很少直接被安全设备深度检测。
加上近年来加密DNS技术如DNS-over-HTTPS(DoH)和DNS-over-TLS(DoT)的广泛应用,使得防御者更难以监测甚至阻断恶意DNS查询内容。 面对这种技术壁垒和安全风险,业内专家建议采取"先阻断,后允许"的安全策略,有选择性地阻止对DNS TXT记录的访问,同时通过建立可信域名白名单将合法业务需求合理放行。ADAMnetworks基于其零信任连接平台adam:ONE(版本4.14.2-266及以后),推出了针对TXT记录的策略化阻断功能,能够有效避免DNS重绑定攻击等风险,同时保障企业内部网络和关键应用的正常运行。 企业在实施安全防御时不应对公共DNS解析器盲目封锁TXT记录,因为这可能导致全球互联网核心服务受影响,而应集中力量优化本地或企业网络的DNS访问策略,结合日志审计、威胁情报共享与行为分析,主动发现并阻止疑似恶意的DNS请求。 随着攻击手段的不断推陈出新,TXT记录滥用案例的频繁出现再次提醒安全从业者,任何被视为理所当然的基础协议都可能转变成攻击载体。网络安全防护不能依赖单一技术,而应构建多层防线,结合零信任理念,动态调整策略以适应当前威胁环境。
定期审核DNS查询日志、利用先进的DNS安全服务以及保持对最新攻击趋势的关注,成为保障企业信息资产安全的关键手段。 综上所述,ADAMnetworks关于DNS TXT记录被黑客滥用的研究,不仅揭示了一个此前多被忽视的攻击矢量,更推动了业内对于DNS安全的重新审视。唯有加强技术研发与安全意识,才能减缓甚至阻断恶意软件通过DNS隐秘传播的恐怖局面,保障互联网生态的持续健康和企业运营的稳定。 。
