(https://cdn.mos.cms.futurecdn.net/8SEbnzx6fEfMMZpceNPy9P-970-80.jpg.webp)
DomainTools informó que alguien encontró una forma de incrustar malware en los registros del Sistema de Nombres de Dominio (DNS), lo que significa que tenemos algo nuevo que achacar al sistema responsable de prácticamente todos los problemas de red que la mayoría de las personas puedan tener.
Para quienes tengan la suerte de no saberlo, el DNS es el sistema que permite escribir algo como "tomshardware.com" en la barra de direcciones del navegador e, idealmente, acceder a la dirección IP asociada a nuestro sitio. Sin él, tendríamos que introducir esas direcciones IP manualmente, sin garantía de que una dirección IP que funcionaba ayer siga funcionando hoy. ¿Por qué? Porque el protocolo de Internet más común, IPv4, no tuvo en cuenta la gran cantidad de dispositivos que todos querríamos conectar, y su sucesor, IPv6, aún no cuenta con la compatibilidad necesaria.
Así que tenemos el DNS. El proceso es similar a esto: un sitio web usa registros DNS para indicar qué dirección IP debe asociarse a su nombre de dominio, los navegadores consultan a los proveedores de DNS para obtener esos registros cuando alguien solicita visitar un sitio web y, si todo va bien, el sitio y su visitante quedan conectados gracias a las maravillas de la web. (Me refiero al conjunto de protocolos y servicios interconectados que son mucho más complejos de lo que se ha explicado en este resumen). El DNS es omnipresente, lo que significa que era solo cuestión de tiempo antes de que alguien encontrara la manera de abusar de él.
El primer paso para explotar el DNS de formas que van más allá de su uso previsto se dio cuando Ben Cartwright-Cox describió una forma de establecer un sistema de archivos sobre el DNS. Dicho sistema debería limitarse a texto plano, pero Cyber Security News informó en junio que hackers ocultaban imágenes en registros DNS, lo que llevó a DomainTools a iniciar una búsqueda al principio de los registros DNS RDATA TXT de bytes de archivo mágicos en formato hexadecimal para una amplia gama de ejecutables y tipos de archivo comunes. ¡Y los encontró! Lo que significa que aún queda mucho por explicar.
La mayoría identificamos el tipo de archivo por la extensión que incluye al final de su nombre: .mp3 para archivos de audio, .txt para texto plano, etc. Pero en la mayoría de los casos, la extensión no tiene nada de especial, por lo que no es posible convertir un JPEG en PNG, por ejemplo, simplemente cambiando su nombre de "example.jpg" a "example.png" en un administrador de archivos. (Por eso algunos administradores de archivos ocultan las extensiones de nombre de archivo por defecto). En cambio, un archivo comunica su tipo mediante "bytes mágicos de archivo" incrustados en su interior, que los programas utilizan para determinar cómo deben gestionarlo.
Ahora que hemos establecido que las computadoras están malditas, sobre todo cuando esperamos que se comuniquen entre sí mediante un conjunto de computadoras intermediarias que simulamos que no existen, continuemos con el descubrimiento de DomainTools.
La compañía afirmó que, entre 2021 y 2022, un actor malicioso utilizaba registros TXT de DNS para almacenar y posiblemente distribuir malware [Joke/ScreenMate] y simuladores para posibles infecciones de malware Covenant C2. DomainTools describió este malware como un software de broma que puede utilizarse para causar problemas de rendimiento del sistema; presentar un flujo continuo de bromas, imágenes o animaciones que pueden distraer y ser difíciles de detener; y mostrar mensajes de error falsos, advertencias de virus ficticias o animaciones que simulan la eliminación de archivos del sistema, entre otras cosas, en los dispositivos infectados.
Sería interesante ver si más hackers empiezan a aprovechar el DNS de esta manera, especialmente porque estos informes han demostrado la relativa facilidad con que se puede utilizar el sistema para ocultar información no textual, implementar malware, etc.
Fuente:
Tom´s Hardware
https://www.tomshardware.com/tech-industry/cyber-security/mmalware-found-embedded-in-dns-the-system-that-makes-the-internet-usable-except-when-it-doesnt