Investigadores de DomainTools descubren cómo se utilizan los registros TXT del sistema DNS para almacenar y distribuir archivos maliciosos, incluidos ejecutables y comandos de control remoto.
Una reciente investigación del equipo de DomainTools ha sacado a la luz un sofisticado método utilizado por actores maliciosos para almacenar y distribuir malware a través de registros TXT del sistema de nombres de dominio (DNS). Esta técnica, lejos de ser teórica, fue identificada en al menos tres dominios entre 2021 y 2022, y permite esconder fragmentos de archivos ejecutables e incluso scripts de ataque dentro de subdominios, sin levantar sospechas.
El DNS, uno de los pilares de Internet, actúa como una especie de “guía telefónica” digital que traduce nombres de dominio en direcciones IP. Pero los registros TXT —originalmente diseñados para contener información legible relacionada con un dominio, como verificaciones de correo electrónico— se han convertido en una herramienta potencial para el cibercrimen.
Cómo funciona este tipo de ataque
El procedimiento descubierto comienza con la partición de archivos (como imágenes o ejecutables) y su conversión a formato hexadecimal. Esos fragmentos se insertan en múltiples registros TXT de subdominios bajo un dominio principal, como por ejemplo *.felix.stf.whitetreecollective[.]com, uno de los investigados. Gracias a esta fragmentación, los atacantes pueden esconder un archivo completo (por ejemplo, un .exe) entre cientos de subdominios con datos secuenciados.
Con ayuda de un script generado mediante inteligencia artificial, los investigadores fueron capaces de reconstruir los archivos almacenados en los registros DNS. El resultado fueron dos ejecutables con los siguientes hashes SHA256:
7ff0ecf2953b8662ede1577e330a514f09992c18aa3c14ed77cf2ffc115b0866e7b22ba761a7f853b63933ffe517cc61596710dbdee992a429ac1bc8d04186a1
Ambos correspondían a un tipo de malware conocido como Joke Screenmate, un software que simula comportamientos destructivos o molestos como mostrar falsos errores, llenar la pantalla de personajes animados, dificultar el control del ratón y degradar el rendimiento del sistema. Aunque su intención inicial puede parecer inofensiva o cómica, estos programas pueden servir de distracción para otros ataques o simplemente degradar gravemente la experiencia del usuario.
Más allá de la broma: comandos maliciosos embebidos
El informe de DomainTools también documentó un uso más peligroso de los registros DNS: la inserción de comandos codificados, como scripts en PowerShell, que se conectan a servidores de control (C2). En uno de los registros asociados a drsmitty[.]com, se halló un script que actuaba como stager para descargar cargas útiles desde otro dominio: cspg[.]pw, concretamente desde la ruta /api/v1/nps/payload/stage1. Esta dirección corresponde al comportamiento habitual de un servidor Covenant C2, una conocida plataforma de comando y control utilizada en entornos de prueba de penetración, pero también por actores maliciosos.
Cabe destacar que almacenar un script en un registro DNS no es suficiente para ejecutar un ataque; se requiere una acción previa en el sistema de la víctima que acceda y ejecute el contenido. Sin embargo, este tipo de almacenamiento sigiloso puede eludir herramientas de detección tradicionales, especialmente si se utiliza en combinación con técnicas de ingeniería social o malware preexistente.
¿Por qué esta técnica es preocupante?
- Persistencia sin intervención externa: Los registros DNS pueden permanecer activos durante largos periodos si no son revisados o sobrescritos, permitiendo que los archivos ocultos se mantengan disponibles para su reconstrucción.
- Dificultad para la detección: Al tratarse de uso legítimo del protocolo DNS, muchas soluciones de seguridad no consideran el tráfico DNS como sospechoso por defecto.
- Reducción de la dependencia de servidores maliciosos visibles: En lugar de requerir un servidor externo tradicional para alojar un archivo malicioso, todo el contenido puede estar distribuido en la infraestructura aparentemente legítima de un dominio registrado.
Un reto para los defensores
Este caso pone de manifiesto cómo los atacantes siguen explorando métodos alternativos y creativos para evadir las defensas convencionales. La utilización de DNS como canal de distribución de malware no es nueva, pero el nivel de sofisticación y automatización visto en este caso es preocupante.
Desde el punto de vista de los defensores, se hace cada vez más necesario monitorizar no solo los registros DNS que se consultan desde una red, sino también su contenido. Herramientas como DNSDB Scout, utilizadas en esta investigación, pueden resultar útiles para analizar pasivamente los registros y detectar patrones sospechosos como encabezados de archivos codificados en hexadecimal.
Además, los equipos de ciberseguridad deberían incorporar análisis de registros DNS en sus flujos de inteligencia de amenazas y aplicar reglas de detección capaces de identificar comportamientos anómalos, como consultas repetidas a múltiples subdominios numéricos o contenido inusualmente largo en registros TXT.
Conclusión
Entre 2021 y 2022, al menos un actor malicioso utilizó el sistema DNS como una plataforma de almacenamiento y distribución de malware, empleando registros TXT para ocultar desde software tipo prank hasta scripts vinculados a servidores de comando y control. Este tipo de técnicas silenciosas, aunque no nuevas, refuerzan la necesidad de una vigilancia continua y de una visión más profunda sobre servicios de red tradicionalmente considerados como neutrales.
El malware ya no solo viaja por correos o enlaces maliciosos: puede esconderse en los rincones menos sospechados de la infraestructura de Internet. Y eso, según advierten los expertos, podría ser solo el principio.
vía: dti.domaintools.com
