DNS 레코드에 숨겨진 악성코드
2025-07-22
해커들은 대부분의 보안 시스템이 접근하기 어려운 곳, 즉 도메인 이름과 해당 IP 주소를 매핑하는 도메인 네임 시스템(DNS) 레코드에 악성코드를 숨기고 있습니다. 이 방법을 통해 악성 스크립트는 바이러스 백신 소프트웨어의 감지 없이 의심스러운 사이트에서 다운로드하거나 이메일로 첨부하지 않고도 바이너리 파일을 가져올 수 있습니다. 많은 보안 도구가 DNS 트래픽을 모니터링하지 않기 때문입니다. DomainTools의 연구원들은 이 기법이 Joke Screenmate라는 악성 프로그램의 악성 바이너리를 호스팅하는 데 사용되었다는 사실을 발견했습니다. 바이너리는 16진수로 변환되어 여러 조각으로 나뉘어 서브 도메인의 TXT 레코드에 숨겨졌습니다. 공격자는 겉으로 보기에 무해한 DNS 요청을 통해 이러한 조각들을 가져와 재구성하고 다시 바이너리로 변환할 수 있습니다. DOH 및 DOT와 같은 암호화된 DNS 조회가 보편화됨에 따라 이 기법은 점점 더 감지하기 어려워질 것입니다.
기술