Onderzoekers hebben ontdekt dat het mogelijk is om malware te verstoppen in DNS records. Dat is riskant omdat dit type verkeer doorgaans sneller wordt vertrouwd.
DNS staat voor Domain Name System en is het systeem dat de naam van een website koppelt aan het IP-adres van die website (of dienst). Het maakt surfen op het web een stuk eenvoudiger.
Bij de community van Domain Tools hebben ze nu ontdekt dat het mogelijk is om in die systemen malware te zetten die onopgemerkt blijft. Ze keken daarbij naar passief verzamelde DNS records, onder meer door te zoeken naar de hexadecimale code van een uitvoerbaar bestand.
Daarbij stelden ze vast dat de malware in kleine stukken code werd opgedeeld en verspreid onder verschillende subdomeinen. De stukjes code zijn op zichzelf onschadelijk, maar samen wel gevaarlijk kunnen zijn. Hackers kunnen met scripting tools DNS records opvragen en zo de malware assembleren. Maar met hun werkwijze kan dat zonder dat er alarmbellen afgaan.
In dit concrete geval gaat het om de malware Joke Screenmate. Software die zorgt voor valse foutmeldingen en verkeerde muisbewegingen. Op zich is dat eerder onschuldige malware om flauwe grappen uit te halen. Maar de malware bevat ook een powershell stager, die kan in principe gebruikt worden om andere malware te downloaden en uit te voeren. De ontdekking slaat ook op DNS records van de periode 2021-2022. Het probleem bestaat dus al een tijdje, al lijkt misbruik nog vrij beperkt.
Domain Tools raadt organisaties zelf aan om DNS traffic monitoring te implementeren en om ongewone patronen of herhaalde TXT queries te zoeken. Ook wijst het naar tools om DNS records grondiger te inspecteren.