- Os pesquisadores encontraram evidências de malware de screen -mate de piadas escondendo -se nos servidores DNS
- Joke ScreenMate é um malware inofensivo e de brincadeira
- Existem maneiras de se defender contra isso
Os hackers encontraram uma maneira de ocultar malware no sistema de nomes de domínio (DNS), evitando inteligentemente a detecção e voando sob o radar. Isso está de acordo com pesquisadores de segurança de ferramentas de domínio que, em um blog recente, detalhavam como descobriram o malware de screen -mate de piada escondido nos servidores DNS.
DNS é essencialmente o catálogo de endereços da Internet, transformando nomes de domínio legíveis (como TechRadar.com) em endereços IP que os computadores usam para localizar serviços. Os registros DNS vêm em vários tipos, incluindo registros TXT, que geralmente são usados para armazenar texto descritivo.
No entanto, como explicou as ferramentas de domínio, os cibercriminosos encontraram uma maneira de cortar malware em pequenos fragmentos codificados e colocá -los em um registro DNS TXT sob diferentes subdomínios. É essencialmente um quebra -cabeça digital espalhado por diferentes endereços. Por si só, cada parte é inofensiva, mas quando remontada, forma um arquivo malicioso.
Joga companheiro de tela
Ao usar ferramentas de script, os atores de ameaças consultam os registros do DNS e reconstruem o malware sem acionar os alarmes de segurança usuais e, como o tráfego de DNS é normalmente confiável, ele não levanta suspeitas.
Em sua redação, os pesquisadores de ferramentas de domínio descreveram a descoberta de rastreamento de piadas, um programa que desencadeia erros falsos do sistema e causa comportamentos irregulares do cursor. Mas, talvez mais alarmante, eles encontraram um PowerShell Stager, um script que pode baixar e executar malware mais destrutivo.
Embora a técnica de ataque seja perfídica, existem maneiras de se defender. As equipes de segurança cibernética devem implementar o monitoramento do tráfego do DNS, procurando padrões incomuns e perguntas repetidas do TXT. Eles também podem usar ferramentas que inspecionam registros do DNS além das funções simples de resolução e devem manter feeds de inteligência de ameaças que incluem domínios e subdomínios maliciosos.
Até agora, havia muito poucos exemplos de abuso no wild, aparentemente, mas como a técnica parece ser bastante simples de fazer, não seria surpreendente vê-la se tornar mais popular nos próximos meses.
Via Hardware de Tom
Fique conectado