हैकर्स अब डीएनएस में मैलवेयर छिपा रहे हैं, और इसे फिर से इकट्ठा करने के लिए एआई का उपयोग कर रहे हैं

Wtf?! सुरक्षा शोधकर्ता और नैतिक हैकर्स नए और अप्रत्याशित स्थानों को उजागर कर रहे हैं जहां दुर्भावनापूर्ण कोड आईटी बुनियादी ढांचे के भीतर छिपाया जा सकता है। यहां तक कि प्रतीत होता है कि सहज डोमेन नाम प्रणाली (DNS)-सभी इंटरनेट-कनेक्टेड उपकरणों के लिए मूलभूत नामकरण प्रणाली-सिद्धांत रूप में, चतुर साइबर अपराधियों या राज्य-प्रायोजित हमलावरों द्वारा शोषण किया जा सकता है। यह एक बढ़ती प्रवृत्ति को रेखांकित करता है: डिजिटल स्टैक का कोई भी हिस्सा परिष्कृत खतरों के लिए एक वेक्टर बनने के लिए बहुत सांसारिक नहीं है।

एक सीपीयू के अंदर रैंसमवेयर छिपाना अजीब था, लेकिन अब, हमलावर नेटवर्क में और भी गहरे और व्यापक हो रहे हैं। हाल ही में एक खोज में, सुरक्षा शोधकर्ताओं ने खुलासा किया कि मैलवेयर का एक टुकड़ा सीधे डोमेन नाम प्रणाली के भीतर एम्बेड किया गया था, प्रभावी रूप से लगभग सभी उन्नत सुरक्षा उपकरणों को दरकिनार कर दिया गया था।

DNS रिकॉर्ड्स में छवियों को छिपाने वाले किसी व्यक्ति की पहले की रिपोर्टों से प्रेरित होकर, डोमेन्टोल्स के शोधकर्ताओं ने बाइनरी या गैर-मानक डेटा के संकेतों के लिए DNS TT रिकॉर्ड्स को स्कोर करना शुरू कर दिया। TXT रिकॉर्ड, जो मनमाना पाठ को संग्रहीत कर सकते हैं और अक्सर डोमेन स्वामित्व को सत्यापित करने के लिए उपयोग किए जाते हैं, आश्चर्यजनक रूप से प्रभावी गुप्त चैनल के रूप में निकला। डीटी की टीम ने पाया कि वे निष्पादन योग्य बायनेरिज़ को हेक्साडेसिमल स्ट्रिंग्स में परिवर्तित करके इन रिकॉर्डों में मैलवेयर नमूनों को एनकोड कर सकते हैं।

गहरी खुदाई करते हुए, शोधकर्ताओं ने ज्ञात “मैजिक बाइट्स” की खोज की – विभिन्न निष्पादन योग्य फ़ाइल हेडर में उपयोग किए जाने वाले पहचानकर्ता। उन्होंने एक परिचित .exe हेडर के कई उदाहरण पाए, जो एक ही डोमेन से संबंधित विभिन्न उप -डोमेन में एम्बेडेड थे, प्रत्येक में अलग -अलग TXT रिकॉर्ड मान होते हैं। कुल मिलाकर, सैकड़ों सबडोमेन इस अजीब और चुपके मैलवेयर वितरण योजना में भाग लेते हुए दिखाई दिए।

डोमेंटोल्स के विश्लेषकों को संदेह है कि हमलावर ने सैकड़ों हेक्साडेसिमल-एन्कोडेड टुकड़ों में एक दुर्भावनापूर्ण द्विआधारी फ़ाइल को तोड़ दिया, प्रत्येक को एक अलग डीएनएस सबडोमेन में संग्रहीत किया गया। शोधकर्ताओं के अनुसार, प्रतिकूलता ने तब एक जनरेटिव एआई सेवा का उपयोग किया, जो तेजी से एक स्क्रिप्ट उत्पन्न करने में सक्षम है, जो टुकड़ों को फिर से बनाने में सक्षम है। एक बार पुनर्निर्माण करने के बाद, बाइनरी ने जोक स्क्रीनमेट के दो ज्ञात SHA-256 हैश का मिलान किया, एक शरारत मैलवेयर जो विनाशकारी व्यवहार की नकल करता है और सामान्य सिस्टम फ़ंक्शन और उपयोगकर्ता नियंत्रण में हस्तक्षेप कर सकता है।

लेकिन यह सब नहीं था। एक ही खोजी तकनीक का उपयोग करते हुए, टीम ने डीएनएस रिकॉर्ड में एम्बेडेड एक एन्कोडेड पॉवरशेल स्क्रिप्ट को भी उजागर किया। यह स्क्रिप्ट एक कमांड-एंड-कंट्रोल सर्वर से जुड़ी हुई है, जो वाचा के ढांचे से जुड़ी है, एक वैध पोस्ट-एक्सप्लेटेशन टूलकिट को अक्सर खतरे वाले अभिनेताओं द्वारा पुनर्निर्मित किया जाता है। कनेक्शन अतिरिक्त पेलोड के डाउनलोड की सुविधा प्रदान कर सकता है, जिससे यह एक बड़े, अधिक परिष्कृत हमले श्रृंखला का एक संभावित घटक बन जाता है।

एक ईमेल स्टेटमेंट में, डोमेंटोल्स इंजीनियर इयान कैंपबेल ने DNS- आधारित मैलवेयर डिलीवरी के बढ़ते जोखिम पर जोर दिया, विशेष रूप से TLS पर DNS और DNS जैसी एन्क्रिप्शन तकनीकों के रूप में अधिक व्यापक हो जाता है।

“जब तक आप उन फर्मों में से एक नहीं हैं जो अपने स्वयं के-नेटवर्क DNS रिज़ॉल्यूशन कर रहे हैं, आप यह भी नहीं बता सकते हैं कि अनुरोध क्या है, कोई कम नहीं है कि यह सामान्य या संदिग्ध है,” कैंपबेल ने कहा।

इन एन्क्रिप्टेड डीएनएस प्रोटोकॉल का लाभ उठाकर, साइबर क्रिमिनल प्रभावी रूप से पेलोड को सबसे अधिक पता लगाने वाले सिस्टम से तस्करी कर सकते हैं, जिससे डीएनएस चुपके से मैलवेयर वितरण के लिए तेजी से आकर्षक वेक्टर बन जाता है।