DNSレコードに隠されたマルウェア
2025-07-22
ハッカーは、ほとんどのセキュリティ対策が届かない場所にマルウェアを隠しています。それは、ドメイン名と対応するIPアドレスをマッピングするドメインネームシステム(DNS)レコードです。この手法により、悪意のあるスクリプトは、ウイルス対策ソフトに検知されることなく、疑わしいサイトからダウンロードしたり、メールに添付したりすることなく、バイナリファイルを取得できます。DNSトラフィックは多くのセキュリティツールによって監視されないことが多いためです。DomainToolsの研究者によると、この手法はJoke Screenmateという迷惑ソフトウェアの悪意のあるバイナリをホストするために使用されていたことがわかりました。バイナリは16進数に変換され、複数のチャンクに分割され、サブドメインのTXTレコードに隠されました。攻撃者は、一見無害なDNSリクエストを使用してこれらのチャンクを取得し、再構成してバイナリに変換することができます。DOHやDOTなどの暗号化されたDNSルックアップが普及するにつれて、この手法は検出が難しくなります。
テクノロジー