СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.07.2025
#ИБ#Инфра#Облака

Скрытое хранение файлов и вредоносные скрипты в DNS-записях

Скрытое хранение файлов и вредоносные скрипты в DNS-записях

DNS как новое хранилище данных: исследование скрытых файлов и вредоносных команд

Современные методы кибербезопасности сталкиваются с непрерывно растущими вызовами. Одно из последних исследований выявило необычную технику, при которой файлы изображений и вредоносные команды скрываются в текстовых записях DNS. Этот нетрадиционный способ хранения и передачи данных может представлять серьёзную угрозу безопасности корпоративных и пользовательских систем.

Механизм скрытого хранения данных в DNS

Изученный метод базируется на следующем принципе:

  • файлы разбиваются на небольшие разделы;
  • каждый раздел преобразуется в шестнадцатеричный формат;
  • полученные данные записываются в записи DNS (обычно типа TXT);
  • записи остаются доступными до тех пор, пока DNS-сервер не обновит или не удалит их.

Таким образом, DNS выступает в роли своеобразного «облачного» или «локального» хранилища, которое традиционно не предполагается использовать для подобных целей.

Обнаружение файлов и вредоносных программ

Исследователи опирались на отчёты, описывающие возможность встраивания файлов изображений в DNS. Для идентификации была применена методика поиска с помощью регулярных выражений, нацеленных на сигнатуры файлов в шестнадцатеричном виде в базе данных DNSDB Scout.

В результате удалось обнаружить SHA256-хэши файлов, связанных с вредоносной программой Joke Screenmate. Эта программа известна своими функциям шуток и розыгрышей:

  • имитация деструктивных действий;
  • отображение ложных сообщений об ошибках;
  • создание помех в управлении пользователем;
  • показ нежелательного контента;
  • потребление системных ресурсов, что негативно сказывается на производительности.

Вредоносные команды в DNS: случай drsmitty.com

Исследование выявило, что использование DNS выходит за рамки файлах бинарных данных — в текстовых записях обнаружены вредоносные команды. В частности, была проанализирована доменная зона drsmitty.com, где в текстовой записи одного из поддоменов был найден закодированный скрипт PowerShell.

Этот скрипт выполняет роль промежуточного звена: после запуска на скомпрометированной системе он устанавливает соединение с удалённым доменом cspg.pw, который выступает как сервер управления (C2) для дальнейшей доставки полезных нагрузок (payloads).

Важно отметить, что для успешного исполнения сценария, хранящегося в DNS, требуется выполнение определённой последовательности действий на цели, что затрудняет обнаружение и противодействие атаке.

Заключение

Данное исследование подчеркивает, насколько изобретательно злоумышленники обходят традиционные механизмы защиты, используя DNS не только как протокол для разрешения имён, но и как средство хранения и передачи вредоносного кода. Это создаёт дополнительные вызовы для специалистов по кибербезопасности и требует развития новых подходов к мониторингу и анализу DNS-трафика.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: