Para peneliti keamanan telah mengungkap vektor serangan baru yang canggih yang mengubah sistem Domain Name System yang merupakan fondasi internet menjadi mekanisme pengiriman tersembunyi untuk perangkat lunak berbahaya. Penemuan ini menyoroti bagaimana penjahat siber mengeksploitasi bahkan infrastruktur jaringan yang paling mendasar untuk melewati langkah-langkah keamanan tradisional.
Rekaman DNS Menjadi Host Malware yang Tak Terduga
Domain Name System, yang menerjemahkan alamat situs web yang dapat dibaca manusia menjadi alamat IP, telah menjadi tempat persembunyian yang tidak terduga untuk kode berbahaya. Para peneliti DomainTools menemukan bahwa penyerang menanamkan file yang dapat dieksekusi langsung dalam rekaman TXT DNS, yang biasanya digunakan untuk tujuan yang sah seperti verifikasi domain. Teknik ini mengeksploitasi fakta bahwa rekaman TXT dapat menyimpan data teks arbitrer, menjadikannya saluran tersembunyi yang ideal untuk malware yang dikodekan.
Investigasi dimulai setelah laporan sebelumnya muncul tentang peretas yang menyembunyikan gambar dalam rekaman DNS. DomainTools memperluas pencarian mereka untuk mencari byte file magic - pengenal heksadesimal yang menandai awal dari file yang dapat dieksekusi. Pemindaian sistematis mereka mengungkap beberapa contoh fragmen malware yang didistribusikan di ratusan subdomain yang dimiliki oleh domain yang sama.
Tantangan Deteksi:
- Enkripsi DNS over HTTPS dan DNS over TLS menyamarkan lalu lintas berbahaya
- Alat keamanan tradisional tidak dapat memeriksa permintaan DNS yang terenkripsi
- Pendekatan yang terfragmentasi membuat pengenalan pola menjadi sulit
- Deteksi magic file bytes memerlukan teknik pemindaian khusus
Rekonstruksi Malware Bertenaga AI
Aspek yang paling mengkhawatirkan dari serangan ini melibatkan penggunaan kecerdasan buatan untuk mengotomatisasi proses perakitan malware. Para peneliti menemukan bahwa penyerang telah memecah file biner berbahaya menjadi ratusan fragmen yang dikodekan heksadesimal, masing-masing disimpan dalam subdomain DNS yang terpisah. Para penjahat siber kemudian memanfaatkan layanan AI generatif untuk membuat skrip yang mampu secara otomatis merakit kembali fragmen-fragmen ini menjadi malware yang fungsional.
Teknik ini menunjukkan tingkat kecanggihan baru dalam distribusi malware. Dengan memfragmentasi kode berbahaya di beberapa rekaman DNS, penyerang membuat deteksi menjadi jauh lebih sulit bagi alat keamanan tradisional. Biner yang direkonstruksi cocok dengan hash SHA-256 yang dikenal dari malware Joke Screenmate, yang dapat mengganggu kinerja sistem dan menampilkan pesan kesalahan palsu kepada pengguna.
Metodologi Serangan:
- Malware dipecah menjadi ratusan bagian yang dikodekan secara heksadesimal
- Setiap fragmen disimpan dalam catatan DNS TXT terpisah di seluruh subdomain
- Skrip yang dihasilkan AI digunakan untuk merakit kembali fragmen menjadi malware yang berfungsi
- Infrastruktur command-and-control tertanam dalam catatan DNS
 |
|---|
| Gambar ini mengilustrasikan infrastruktur jaringan kompleks yang mungkin terlibat dalam pengiriman dan perakitan malware secara tersembunyi melalui DNS |
Penemuan Infrastruktur Command dan Control
Selain malware yang terfragmentasi, para peneliti DomainTools mengungkap ancaman tambahan yang tertanam dalam infrastruktur DNS. Mereka menemukan skrip PowerShell yang dikodekan tersembunyi dalam rekaman DNS yang terhubung ke server command-and-control yang terkait dengan kerangka kerja Covenant. Toolkit post-eksploitasi yang sah ini sering digunakan kembali oleh pelaku ancaman untuk membangun akses persisten ke sistem yang dikompromikan.
Kehadiran koneksi command-and-control ini menunjukkan bahwa sistem pengiriman malware berbasis DNS dapat berfungsi sebagai bagian dari rantai serangan multi-tahap yang lebih besar. Setelah payload awal dikirim dan dieksekusi, skrip PowerShell dapat memfasilitasi pengunduhan komponen berbahaya tambahan.
Jenis Malware yang Ditemukan:
- Malware Joke/ScreenMate (periode 2021-2022)
- Skrip PowerShell yang terhubung ke framework C2 Covenant
- File executable dengan hash SHA-256 yang dapat diidentifikasi
Teknologi Enkripsi Mempersulit Deteksi
Adopsi protokol DNS terenkripsi yang semakin meningkat menghadirkan tantangan tambahan bagi para profesional keamanan. DNS over HTTPS dan DNS over TLS, meskipun meningkatkan privasi dan keamanan dalam kasus penggunaan yang sah, juga memberikan perlindungan untuk aktivitas berbahaya. Ian Campbell dari DomainTools menekankan bahwa teknologi enkripsi ini membuat hampir tidak mungkin bagi organisasi untuk memeriksa lalu lintas DNS untuk konten yang mencurigakan.
Kecuali organisasi menerapkan resolusi DNS dalam jaringan mereka sendiri, mereka tidak dapat memeriksa permintaan DNS yang sebenarnya atau menentukan apakah mereka mengandung payload berbahaya. Titik buta ini menciptakan peluang menarik bagi penjahat siber untuk menyelundupkan malware melewati sebagian besar sistem deteksi.
Implikasi untuk Keamanan Jaringan
Penemuan ini merupakan evolusi signifikan dalam metodologi serangan, menunjukkan bahwa tidak ada komponen infrastruktur internet yang terlalu biasa untuk dieksploitasi. Sifat ubiquitous dari sistem DNS dan peran penting dalam konektivitas internet membuatnya menjadi vektor yang ideal untuk distribusi malware yang tersembunyi. Tim keamanan sekarang harus mempertimbangkan lalu lintas DNS sebagai vektor ancaman potensial dan menerapkan mekanisme pemantauan dan penyaringan yang sesuai.
Penggunaan AI untuk mengotomatisasi proses perakitan malware juga menandakan tren yang lebih luas menuju teknik serangan yang lebih canggih dan otomatis. Seiring dengan semakin mudahnya akses ke alat kecerdasan buatan, penjahat siber kemungkinan akan memasukkannya ke dalam berbagai aspek operasi mereka, dari pengintaian awal hingga pengiriman payload dan aktivitas post-eksploitasi.