Des chercheurs ont découvert qu’il est possible de dissimuler des logiciels malveillants dans des enregistrements DNS. Cette pratique est risquée dans la mesure où ce type de trafic est généralement plus fiable.
DNS (Domain Name System) est le système qui associe le nom d’un site web à son adresse IP (ou service). Il simplifie grandement la navigation sur le web.
Au sein de la communauté Domain Tools, on a à présent découvert qu’il est possible d’introduire en toute discrétion du malware dans ces systèmes. Les chercheurs ont examiné les enregistrements DNS collectés passivement, notamment en recherchant le code hexadécimal d’un fichier exécutable.
Ils ont déterminé que le malware se décomposait en petits fragments de code et était réparti dans différents sous-domaines. Ces fragments sont inoffensifs de manière isolée, mais ils peuvent néanmoins s’avérer dangereux, une fois combinés. Des pirates peuvent utiliser des outils de script pour solliciter des enregistrements DNS et assembler ainsi le malware. Cependant, ce type d’approche leur permet de le faire sans déclencher d’alerte.
Dans ce cas concret, il s’agit du malware Joke Screenmate. Ce logiciel génère de faux messages d’erreur et des mouvements de souris incorrects. En soi, il s’agit d’un logiciel malveillant plutôt inoffensif utilisé pour de bêtes canulars. Il n’empêche qu’il contient également un ‘PowerShell stager’, un script qui peut potentiellement être utilisé pour télécharger et exécuter d’autres logiciels malveillants. La découverte concerne aussi les enregistrements DNS de 2021-2022. Le problème existe donc depuis un certain temps déjà, même si son abus semble encore relativement limité.
Domain Tools recommande aux organisations d’implémenter le ‘DNS traffic monitoring’ et de rechercher des modèles inhabituels ou des requêtes TXT répétées. Il renvoie également à des outils permettant une inspection plus approfondie des enregistrements DNS.