هک به روش فوق عجیب و غیرقابل شناسایی؛ جابجایی کدهای مخرب از طریق  رکوردهای DNS

در جدیدترین خلاقیت هکرها، با حمله‌ای روبرو هستیم که نه از طریق ایمیل یا دانلود، بلکه از طریق پرس‌وجوهای معمول DNS سیستم قربانی را آلوده می‌کند. تکنیکی که با تبدیل کد به هگزادسیمال و جاسازی آن در رکوردهای TXT دامنه، بدافزار را از طریق DNS، لایه‌ای که اغلب نادیده گرفته می‌شود، به سیستم وارد می‌کند. در ادامه با ما و آشنایی بیشتر با این روش هک بسیار عجیب و حرفه‌ای آشنا شوید.

در حالی که ساختار پروتکل DNS سال‌هاست به عنوان یکی از ستون‌های حیاتی اینترنت شناخته می‌شود، اکنون بار دیگر این زیرساخت بنیادین به بستر حمله‌ای خلاقانه و در عین حال نگران‌کننده تبدیل شده است؛ حمله‌ای که نه از طریق پورت‌های باز یا آسیب‌پذیری‌های نرم‌افزاری، بلکه مستقیماً از طریق درخواست‌های DNS و رکوردهای TXT عمل می‌کند.

بنابر گزارش وبسایت ARSTechnica، پژوهش‌ تازه‌ای که توسط یان کمپل، تحلیلگر امنیت سایبری در شرکت DomainTools منتشر شده، نشان می‌دهد که مهاجمان سایبری موفق شده‌اند یک روش پیشرفته‌ی پنهان‌سازی بدافزار را در لایه‌ی نام دامنه پیاده‌سازی کنند؛ روشی که به‌سادگی توسط ابزارهای امنیتی سنتی قابل شناسایی نیست.

در همین رابطه بخوانید:

– بهترین DNS رایگان در ویندوز، اندروید و iOS

از کد هگزادسیمال تا اجرای کد روی سیستم قربانی

در این روش، کدهای مخرب ابتدا به فرمت هگزادسیمال (hexadecimal) تبدیل می‌شوند و سپس در قالب رکوردهای متنی (TXT records) در زیر‌دامنه‌های متعدد یک دامنه‌ی واحد جاسازی می‌گردند. این کد هگزادسیمال می‌تواند در قالب رشته‌هایی با طول محدود (تا حداکثر ~255 کاراکتر برای هر رکورد TXT) در پاسخ به درخواست‌های DNS به مرورگر یا عامل کاربر ارسال شود.

نکته‌ی کلیدی در این تکنیک، استفاده از توالی سلسله‌وار زیر‌دامنه‌ها است. برای مثال، یک دامنه اصلی ممکن است شامل ده‌ها زیر‌دامنه‌ی تصادفی باشد که هرکدام بخشی از پیکره‌ی کد هگزادسیمال بدافزار را در رکوردهای TXT خود حمل می‌کنند. هنگامی که کاربر از وب‌سایت آلوده بازدید می‌کند، کد جاوااسکریپت تعبیه‌شده در صفحه می‌تواند درخواست‌هایی به DNS ارسال کند که عمداً منجر به resolve کردن زیر‌دامنه‌های آلوده شود، تا در نهایت کل بدنه‌ی بدافزار در حافظه سمت کاربر بازسازی شود.

این بدافزار در نمونه‌ی شناسایی‌شده توسط DomainTools، متعلق به خانواده‌ی Joke Screenmate بوده که در دسته‌ی بدافزارهای مزاحم (nuisanceware) طبقه‌بندی می‌شود؛ نوعی بدافزار گرافیکی که با اجرای متناوب رفتارهای بی‌ثبات‌کننده، تجربه‌ی کاربری سیستم را مختل می‌سازد.

در همین رابطه بخوانید:

– آینده‌ای که برایش آماده نیستیم: هکرهای هوش مصنوعی

چرا این حمله غیر قابل شناسایی است؟

مهم‌ترین ویژگی این حمله، استفاده از کانالی است که اغلب ابزارهای امنیتی آن را نادیده می‌گیرند: ترافیک DNS. بسیاری از آنتی‌ویروس‌ها و ابزارهای محافظتی نه ترافیک لایه‌ی DNS را تحلیل می‌کنند و نه توانایی پردازش محتوای رکوردهای TXT را دارند. حتی فایروال‌های DNS محور مانند Pi-hole یا DNSFilter نیز به دلیل تمرکز روی فیلتر دامنه و نه تحلیل محتوایی، ممکن است این نوع حمله را به راحتی عبور دهند.

محدودیت‌های اندازه‌ی رکورد TXT سبب می‌شود که مهاجمان به‌جای بارگذاری مستقیم یک فایل اجرایی کامل، بدافزار خود را به صورت چندبخشی encode کرده و سپس سمت کلاینت از طریق جاوااسکریپت یا اسکریپت‌های بومی (مانند PowerShell) بازسازی و اجرا نمایند.

کاربردها: از جاسازی بدافزار تا هک ربات‌های AI

در یکی از نمونه‌های عجیب و جالب توجه که توسط منبع این پژوهش بررسی شده، از همین تکنیک برای جای دادن برخی دستورات تزریقی (Prompt Injection) به مدل‌های زبانی بزرگ (LLM) استفاده شده است. در این نمونه، کدهای هگزادسیمال در رکوردهای TXT نه حاوی بدافزار، بلکه شامل دستوراتی با بار معنایی خاص برای فریب دادن یا منحرف‌کردن خروجی ربات‌های هوش مصنوعی مولد بوده‌اند.

برای اینکه موضوع را برای فهم بهتر ساده کنیم می‌توان این مثال را در نظر گرفت. تصور کنید که شما یک مدل زبانی را توسعه داده یا از مدل توسعه یافته توسط یک گروه توسعه‌دهنده دیگر استفاده می‌کنید. حالا سوالی با محتوای منطقی و جدی را از آن می‌پرسید ولی مشاهده می‌کنید که ربات به شما پاسخی طنزآمیز می‌دهد و آنگاه است که گمان می‌کنید ربات شما دچار اشتباه شده است. اما حقیقت این است که ربات شما به هالیوودی‌ترین حالت ممکن هک شده و در میانه راه، کدهای دیگری را به جای دستور نهایی شما دریافت کرده و به همین خاطر است که پاسخی متفاوت از انتظار به شما می‌دهد.

این کارکرد دوگانه (مخرب یا تدافعی بسته به نیت استفاده‌کننده) پتانسیل خطرناکی دارد. از یک سو، مهاجمان می‌توانند از آن برای دور زدن سامانه‌های دفاعی استفاده کنند؛ از سوی دیگر، برخی توسعه‌دهندگان ممکن است با انگیزه‌ی جلوگیری از استخراج بی‌اجازه‌ی داده‌های وب‌سایت‌هایشان توسط ربات‌های کراولر برای آموزش مدل‌های هوش مصنوعی، عمداً به چنین روش‌هایی متوسل شوند.

روش مقابله؟ هیچ!

در مجموع، آنچه این روش را متمایز می‌کند، استفاده از یک پروتکل اساسی اینترنت به‌عنوان کانال حمل بدافزار است؛ چیزی که تاکنون کمتر مورد سوءاستفاده مستقیم قرار گرفته بود. DNS، که وظیفه‌ی ترجمه‌ی نام‌های دامنه به نشانی‌های IP را بر عهده دارد، اکنون می‌تواند به مسیری برای حملات اجرای کد از راه دور تبدیل شود. در واقع برای شرایط فعلی ما هیچ روش تایید شده‌ای جهت شناسایی و فیلترکردن این کدهای مخرب وجود ندارد.

اگرچه محدودیت‌های ذاتی رکورد TXT مانع اجرای بدافزارهای پیچیده می‌شود، اما همین مقاله نشان می‌دهد که مهاجمان در حال یافتن مسیرهای کمتر شناخته‌شده در پستوهای بستر اینترنت برای رسیدن به اهداف نامشخص خود هستند. به‌نظر می‌رسد زمان آن رسیده که ابزارهای امنیتی علاوه‌بر ترافیک HTTP، HTTPS و بسته‌های TCP/IP، نگاهی جدی‌تر به DNS نیز بیندازند و از اعتماد همیشگی به این بستر، نه فقط از منظر فیلترینگ دامنه، بلکه به عنوان یک کانال بالقوه برای نشت داده و انتقال کدهای مخرب فاصله بگیرند.