DNS embedded malware technique used to create a hacker-inspired version of the popular Mad Libs word game — built on networking infrastructure to provide distributed version | Tom's Hardware

تکنیک بدافزار جاسازی شده در DNS برای ایجاد نسخه‌ای الهام‌گرفته از هکرها از بازی محبوب کلمات Mad Libs — ساخته شده بر روی زیرساخت شبکه برای ارائه نسخه توزیع شده

نکته جالب در مورد نفرین‌ها این است که آن‌ها تکثیر می‌شوند. در این مورد، هکرهایی که از سیستم نام دامنه (DNS) برای توزیع بدافزار استفاده می‌کنند، مایکل “B’ad Samurai” بانر را الهام بخشیدند تا DNS Mad Libs را ایجاد کند، که از همان تکنیک هک توزیع بدافزار DNS که اخیراً کشف شده است برای ارائه یک نسخه توزیع شده از بازی محبوب کلمات استفاده می‌کند.

بانر در README پروژه گفت: “این پروژه از تحقیقات قبلی در مورد استفاده از رکوردهای TXT DNS برای ذخیره و بازیابی داده‌ها الهام گرفته شده است، که می‌تواند برای اهداف مختلفی از جمله توزیع بدافزار و فرماندهی و کنترل استفاده شود.” “این کار معمولاً با جاسازی بارهای مخرب در رکوردهای DNS انجام می‌شود، که سپس می‌توانند توسط سیستم‌های آلوده حل شوند. در این مورد، ما از نقاط پایانی API عمومی از طریق HTTPS برای بازیابی داده‌ها از یک سرویس قابل اعتماد استفاده می‌کنیم و منبع واقعی داده‌ها را پنهان می‌کنیم.”

گزارش من در مورد بدافزار فعال شده با DNS شامل توضیحات [صفت] بیشتری از سیستم است؛ اصل مطلب این است که نام‌های دامنه (” “) را به آدرس‌های IP (199.232.194.114) تبدیل می‌کند تا مرور وب راحت‌تر شود. اما این توضیح یک جنبه مهم DNS را نادیده گرفت: توانایی تنظیم زمان حیات (TTL) برای رکوردهای آن.

یک نام دامنه به ندرت برای همیشه با یک آدرس IP خاص مرتبط است—گاهی اوقات به دلیل تصمیم اپراتور وب‌سایت، مانند تغییر به یک میزبان دیگر، تغییر می‌کند و گاهی اوقات به سادگی با یک آدرس IP پویا مرتبط است که بر اساس خواسته‌های یک ارائه‌دهنده خدمات اینترنت بالادستی تغییر می‌کند. DNS باید بتواند هر یک از این موارد را مدیریت کند.

اینجاست که TTL وارد می‌شود. این تنظیم به طور موثر به ارائه‌دهندگان DNS می‌گوید که هر چند وقت یکبار بررسی کنند تا مطمئن شوند رکوردی به‌روز نشده است. رکوردی که انتظار می‌رود به صورت نیمه‌منظم تغییر کند، یک TTL کوتاه خواهد داشت؛ رکوردی که انتظار می‌رود کمتر تغییر کند، یک TTL طولانی خواهد داشت. (و وقتی این انتظارات برآورده نشوند، خب، آن وقت است که همه چیز خراب می‌شود.)

DNS Mad Libs، مانند مثال بدافزار جاسازی شده قبل از آن، از توانایی تنظیم یک TTL طولانی برای رکوردهای DNS برای ذخیره اطلاعات بیشتر از آنچه طراحان سیستم انتظار داشتند، استفاده می‌کند. به این ترتیب، برای راه‌اندازی یک mad-lib جدید به یک سرور اختصاصی نیاز ندارد—فقط به مجموعه‌ای از رکوردهای DNS برای یک دامنه نیاز دارد که به روشی که رابط بازی انتظار دارد، تنظیم شده باشد.

این فقط نشان می‌دهد: هر فناوری به اندازه کافی [صفت] واقعاً [صفت] از [اسم] است، به خصوص وقتی [اسم] درگیر باشد.