🦠 Il malware nei record DNS: un nuovo fronte nella guerra cibernetica

Pubblicato da

  


I cybercriminali stanno sfruttando i record DNS per nascondere e distribuire codice malevolo, eludendo i sistemi di sicurezza tradizionali. Questa tecnica innovativa trasforma un servizio essenziale di Internet in un canale stealth (un mezzo di comunicazione che sfrutta protocolli apparentemente innocui o legittimi — in questo caso, il DNS — per mimetizzare il traffico malevolo) per comando, controllo e aggiornamento dei malware.

🔗 Ti piace Techelopment? Dai un'occhiata al sito per tutti i dettagli!

🤔 Sai niente del malware nei DNS?

Sì, i DNS (Domain Name System) sono da tempo sfruttati dai cybercriminali. Le tecniche più note includono DNS tunneling, DNS hijacking e uso di domini generati automaticamente (DGA). Ma oggi stiamo assistendo a una nuova evoluzione più subdola: l’uso dei record DNS come contenitori di codice malevolo.


🤨 Ma in che senso “i DNS contengono malware”?

Sembra che i cybercriminali stiano trasformando i record DNS in depositi di codice malevolo. In particolare, sfruttano il fatto che i record DNS — come i record TXT — possono contenere stringhe di testo arbitrarie e anche molto lunghe. Questi dati vengono poi letti da malware già presenti nei sistemi infetti.

Il trucco è semplice e geniale: nascondere script, configurazioni o comandi dannosi dentro un’infrastruttura che nessuno controlla a fondo, sfruttando un servizio essenziale come il DNS.


🤨 Quindi aspetta… questo tipo di attacco presuppone che ci sia già un malware installato sul PC?

Esatto. Il DNS in sé non può eseguire codice. È solo un protocollo di risoluzione di nomi.
Per sfruttare i dati malevoli nei record DNS, ci deve essere un componente già attivo sulla macchina (es. un malware, uno script, una macro, un agent PowerShell) che:

  1. Interroga uno specifico dominio controllato dall’attaccante.

  2. Legge il contenuto (es. da un record TXT).

  3. Decodifica e esegue il codice in memoria.


🤷‍♂️ Ma allora perché usare i DNS? Se il malware è già installato, non potrebbe già fare danni?

Domanda chiave. In effetti, un malware installato può fare tutto.
Ma usarli tramite DNS offre vantaggi strategici enormi per l’attaccante ⬇️

🎯 Perché usare i DNS anche dopo l’infezione?

VantaggioSpiegazione
🕵️‍♂️ Evasione della detectionIl traffico DNS è raramente monitorato, al contrario di HTTP/S o FTP. Le query sembrano innocue.
🔁 ModularitàIl malware iniziale può essere solo un loader. I componenti dannosi veri e propri vengono scaricati "a pezzi" via DNS.
👻 FilelessI payload possono essere eseguiti interamente in memoria, senza lasciare tracce su disco.
🎮 Controllo remoto (C2)I comandi arrivano tramite risposte DNS (es. nei record TXT) e vengono interpretati in locale.
🧪 Firme antivirus aggirateI dati DNS possono essere cifrati, codificati in base64 o frammentati. Nessuna firma standard li intercetta.

In altre parole, in questo modo i malware si rendono "invisibili" agli antivirus dato che non hanno codice malevolo incorporato quando infettano un dispositivo.

🔍 Un esempio pratico?

Ecco un flusso semplificato:

  1. Un malware eseguito via phishing o exploit si installa come loader.

  2. Fa una query DNS a config.attacker-domain.com.

  3. Il record TXT restituito contiene una stringa codificata:

    eval(base64_decode("c3lzdGVtKCJjbWQuZXhlIC9jIFwiZGVsZXRlIC9GICpcIg=="))

  4. Il malware la decodifica e la esegue in PowerShell o Python.

  5. Il sistema viene compromesso ulteriormente, ma senza scaricare nulla da HTTP/S.


🛡️ Come ci si difende?

Difendersi da questa tecnica richiede analisi comportamentale e visibilità DNS. Alcune contromisure:

  • Monitoraggio dei record DNS insoliti (es. TXT troppo lunghi, codifiche sospette).

  • Limitare le richieste DNS in uscita verso domini non autorizzati.

  • DNS firewall con threat intelligence (es. Quad9, Cisco Umbrella, Cloudflare Gateway).

  • EDR/IDS con ispezione DNS profonda (es. Suricata, Zeek).

  • Threat hunting DNS-oriented, esaminando richieste DNS anomale.


🧵 Conclusione

I DNS non servono più solo a risolvere nomi di dominio.
Ora sono anche canali di comando e trasporto dati malevoli, invisibili ai sistemi tradizionali.

Questo rende fondamentale integrare il traffico DNS nel piano di sicurezza aziendale e trattarlo come un potenziale vettore di attacco, non solo come un servizio infrastrutturale.



Follow me #techelopment

Official site: www.techelopment.it
facebook: Techelopment
instagram: @techelopment
X: techelopment
Bluesky: @techelopment
telegram: @techelopment_channel
whatsapp: Techelopment
youtube: @techelopment