Hackers vinden nieuwe manier om DNS voor malware te misbruiken - zo bescherm je jezelf hiertegen
- Hackers hebben een nieuwe manier gevonden om DNS records te misbruiken om malware te verspreiden.
- Hiervoor delen ze de malware op in kleinere stukjes en verbergen ze deze in de code in de bestaande records.
- Hoewel deze manier van aanvallen nieuw is, is het ook te ondervangen.
- Lees ook: ‘Hackers versnellen hun aanvallen door inzet AI’
Pixabay
Het digitale dievengilde heeft een nieuwe manier ontdekt om een DNS int te zetten om malware te verspreiden, zo blijkt uit recent onderzoek van DomainTools. De hackers hakken schadelijke bestanden in kleine stukjes op en slaan deze op in DNS-records. Hierdoor weten de kwaadwillenden detectie te omzeilen en blijven ze uit het zicht van beveiligingsmaatregelen.
Bij deze techniek wordt een malwarebestand omgezet naar hexadecimale tekst en opgesneden in honderden kleine fragmenten. Elk fragment wordt opgeslagen in een TXT-record van een subdomein. Vervolgens kunnen de cybercriminelen met ogenschijnlijk onschuldige DNS-verzoeken de individuele stukjes ophalen, samenvoegen en weer omzetten naar het originele binaire bestand.
Dit werkt vooralsnog goed, omdat DNS-verkeer zelden grondig wordt geanalyseerd. Dat maakt dat deze datastroom vaak onder de radar van traditionele beveiligingssystemen blijft.
Detectie is extra moeilijk door versleuteling
De situatie wordt complexer door de toename van versleutelde DNS-verzoeken, zoals DNS over HTTPS (DOH) en DNS over TLS (DOT). Hierdoor wordt het voor netwerkbeheerders en zelfs organisaties met eigen DNS-resolvers steeds moeilijker om legitiem van verdacht verkeer te onderscheiden.
De onderzoekers zagen ook dat deze aanpak niet alleen wordt gebruikt voor het verspreiden van malware, maar ook voor het hosten van kwaadaardige PowerShell-scripts. Daarnaast vonden ze DNS-records die werden ingezet voor prompt-injecties bij AI-chatbots, waarmee aanvallers het gedrag van deze systemen kunnen manipuleren.
Wat kan je doen?
Hoewel duidelijk is dat deze nieuwe aanvalsmanier erg lastig te detecteren is, zijn er wel wat stappen die je kunt ondernemen om het risico te beperken.
Als eerste kun je bijvoorbeeld actief DNS-verkeer gaan monitoren en loggen. Zodoende kun je sneller afwijkingen ontdekken en mogelijk analyseren. Hierbij moet je denken aan ongebruikelijke TXT-records of DNS-tunneling. Dit vraagt om geavanceerde detectietools die ook versleuteld verkeer kunnen analyseren.
Ga je een stap verder, dan kom je bij gespecialiseerde beveiligingsoplossingen in de vorm van DNS-firewalls en specialistische apps die DNS-verkeer inspecteren en verdachte patronen kunnen blokkeren. Het is hierbij ook belangrijk dat de DNS-beveiliging gekoppeld wordt aan actuele dreigingsinformatie, zodat bekende malafide domeinen direct worden geblokkeerd.
Je zou encryptie kunnen overwegen, wat beschermt tegen manipulatie van DNS-records. Maar, zoals hierboven te lezen valt, kan dit ook een extra complicatie betekenen, omdat het monitoring lastiger maakt. Dit zou dus alsnog gecombineerd moeten worden met endpoint-beveiliging.
Als laatste zou je DNS-verzoeken kunnen beperken en alleen vertrouwde DNS-resolvers toe te staan. Door uitgaand DNS-verkeer te beperken, wordt het moeilijker voor malware om via DNS te verspreiden.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee