يقوم المتسللون بتبشير برامج ضارة في مكان خارج نطاق متناول معظم الدفاعات – سجل نظام اسم المجال (DNS) الذي يعين أسماء المجال إلى عناوين IP العددية المقابلة.
تتيح هذه الممارسة البرامج النصية الخبيثة والبرامج الضارة في المرحلة المبكرة لجلب الملفات الثنائية دون الحاجة إلى تنزيلها من مواقع مشبوهة أو إرفاقها على رسائل البريد الإلكتروني ، حيث يتم حفرها بشكل متكرر بواسطة برنامج مكافحة الفيروسات. ذلك لأن حركة مرور عمليات البحث في DNS غالباً ما تكون غير مرغوب فيها إلى حد كبير من قبل العديد من أدوات الأمان. في حين أن حركة المرور على الويب والبريد الإلكتروني غالباً ما يتم فحصها بشكل وثيق ، فإن حركة مرور DNS تمثل إلى حد كبير نقطة عمياء لمثل هذه الدفاعات.
مكان غريب وساحر
قال باحثون من Domaintools يوم الثلاثاء إنهم اكتشفوا مؤخرًا الخدعة التي يتم استخدامها لاستضافة ثنائي ضار لزميل النكتة ، وهي عبارة عن سلالة من البرامج الضارة المزعجة التي تتداخل مع الوظائف العادية والآمنة لجهاز الكمبيوتر. تم تحويل الملف من التنسيق الثنائي إلى سداسي عشري ، وهو نظام ترميز يستخدم الأرقام من 0 إلى 9 والحروف من A إلى F لتمثيل القيم الثنائية في مجموعة مضغوطة من الأحرف.
ثم تم تقسيم التمثيل السداسي إلى مئات القطع. تم تخزين كل قطعة داخل سجل DNS لنطاق فرعي مختلف من المجال WhitetReecollective[.]كوم. على وجه التحديد ، تم وضع القطع داخل سجل TXT ، وهو جزء من سجل DNS قادر على تخزين أي نص تعسفي. غالبًا ما يتم استخدام سجلات TXT لإثبات ملكية موقع عند إعداد خدمات مثل Google Workspace.
يمكن للمهاجم الذي تمكن من الحصول على إحدى الأمراض في شبكة محمية أن يسترجع كل قطعة باستخدام سلسلة غير ضارة من طلبات DNS ، وإعادة تجميعها ، ثم تحويلها إلى تنسيق ثنائي. تتيح هذه التقنية استرداد البرامج الضارة من خلال حركة المرور التي قد يكون من الصعب مراقبتها عن كثب. كأشكال مشفرة من عمليات البحث عن IP – المعروفة باسم DOH (DNS على HTTPS) و DOT (DNS على TLS) – قد تتم تبنيها ، من المحتمل أن تنمو الصعوبة.
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
