İnternetin kullanılmasını sağlayan temel sistemlerden biri olan Alan Adı Sistemi'ne (DNS) kötü amaçlı yazılım sızdırıldığı ortaya çıktı. Bu durum, internetin işleyişini sağlayan sistemin bazen beklenmedik sorunlara yol açabileceğini bir kez daha gösterdi.
DNS, tarayıcınızın adres çubuğuna yazdığınız bir web sitesi adını, o sitenin IP adresine çevirerek sizi istediğiniz sayfaya ulaştıran bir sistemdir. DNS olmasaydı, her web sitesine erişmek için uzun IP adreslerini ezberlemek ve girmek zorunda kalırdık. Ancak IPv4'ün sınırlı sayıda cihazı desteklemesi ve IPv6'nın henüz tam olarak yaygınlaşamaması nedeniyle DNS, günümüz internetinde kritik bir role sahip.
Peki DNS tam olarak nasıl çalışır? Basitçe anlatmak gerekirse, bir web sitesi, alan adıyla ilişkilendirilmesi gereken IP adresini DNS kayıtlarında belirtir. Birisi bir web sitesini ziyaret etmek istediğinde tarayıcılar DNS sağlayıcılarına bu kayıtlar için başvurur ve her şey yolunda giderse, internetin karmaşık protokolleri sayesinde ziyaretçi ve site birbirine bağlanır. DNS, internetin her köşesinde bulunur, bu da kötü niyetli kişilerin onu kötüye kullanmasının kaçınılmaz olduğu anlamına gelir.
DNS'in amacının dışında kullanılmasının öncül adımlarından biri, bir kişinin DNS üzerine bir dosya sistemi oluşturmanın bir yolunu tasvir etmesiyle atıldı. Bu sistemin yalnızca düz metinle sınırlı olması gerekiyordu. Ancak daha sonra yapılan bir incelemede, siber güvenlik dünyasında, saldırganların DNS kayıtlarına görseller gizlediği rapor edildi. Bu gelişme üzerine yapılan bir araştırma, DNS RDATA TXT kayıtlarında çeşitli çalıştırılabilir dosyalar ve yaygın dosya türleri için kullanılan özel dosya baytlarının arandığını ve bazı örnekler bulunduğunu ortaya koydu.
Genellikle dosyaların türlerini, adlarının sonundaki uzantılardan anlarız: ses dosyaları için .mp3, düz metin dosyaları için .txt gibi. Ancak çoğu durumda bu uzantılar, dosyanın içeriğini belirlemek için yeterli değildir. Dosyalar aslında türlerini, içlerine gömülmüş olan özel dosya baytlarıyla belirtirler ve programlar bu baytları kullanarak dosyayı nasıl işleyeceklerini anlarlar.
DomainTools tarafından yapılan açıklamada, kötü niyetli bir aktörün 2021-2022 yılları arasında DNS TXT kayıtlarını kullanarak zararlı yazılımları (Joke/ScreenMate) depoladığı ve muhtemelen Covenant C2 zararlı yazılım enfeksiyonları için dağıttığı belirtildi. Bu zararlı yazılımın, bilgisayar performansını olumsuz etkileyebileceği, sürekli şaka, görsel veya animasyon göstererek kullanıcıyı rahatsız edebileceği ve virüs uyarıları ya da dosya silme işlemleri taklit eden animasyonlar gösterebileceği ifade edildi.
Bu tür raporlar, DNS sisteminin metin dışı bilgileri gizlemek ve kötü amaçlı yazılım dağıtmak için ne kadar kolay kullanılabileceğini gösterdiğinden, daha fazla saldırganın bu yönteme yönelip yönelmeyeceğini görmek ilginç olacaktır.
