해커들, DNS 레코드에 악성 소프트웨어 숨겨 감지를 피해

사이버보안 연구자들이 새롭고 은밀한 해킹 기법을 발견했습니다. 이 기법은 악성 소프트웨어를 DNS 레코드 안에 숨깁니다.

공격자들은 이 기법을 사용하여 대부분의 시스템이 조사하지 않는 영역에 위험한 코드를 삽입함으로써, 기존의 보안 도구를 회피합니다. 이는 처음으로 ArsTechnica에 의해 보도되었습니다.

도메인 네임 시스템(DNS)은 웹사이트 이름을 IP 주소로 변환하는 시스템으로 작동합니다. 해커들은 이제 DNS를 비정상적인 데이터 저장 솔루션으로 활용하고 있습니다.

DomainTools의 연구자들은 whitetreecollective[.]com 도메인의 TXT 레코드 내에 악성 소프트웨어가 포함되어 있는 것을 감지하였습니다. 웹사이트 소유권을 증명하는 이 레코드들은 다수의 작은 텍스트 조각들을 담고 있으며, 이들이 합쳐져 악성 파일을 형성하였습니다.

이 멀웨어는 일반 컴퓨터 사용을 방해하는 불편 소프트웨어의 일종인 ‘Joke Screenmate’ 파일을 포함하고 있었습니다. 공격자들은 이 파일을 16진수 형식으로 변환한 후, 다양한 서브도메인을 통해 배포하였습니다. 시스템에 접근 권한이 있는 네트워크 관리자는 무해한 DNS 요청으로 보이는 이러한 조각들을 조용히 수집할 수 있습니다.

DomainTools의 Ian Campbell 선임 보안 운영 엔지니어는 ArsTechnica에 보도된 바와 같이 “자체 인넷워크 DNS 리졸버를 보유한 세련된 조직조차도 정상적인 DNS 트래픽과 이상 요청을 구별하는 데 어려움을 겪고 있으며, 이는 악의적인 활동에 이용되었던 경로입니다.”라고 말했습니다.

“DOH와 DOT의 확산은 DNS 트래픽을 리졸버에 도달할 때까지 암호화함으로써 이에 기여하며, 이는 네트워크 내의 DNS 해석을 담당하는 회사 중 하나가 아니라면 요청이 무엇인지, 더욱이 그것이 정상적인 것인지 의심스러운 것인지조차 알 수 없음을 의미한다.”라고 캠벨은 덧붙였습니다.

캠벨은 특정 DNS 레코드가 프롬프트 인젝션 AI 챗봇에 대한 공격을 실행하는 플랫폼으로 작동한다는 것을 발견했습니다. 이러한 숨겨진 명령은 봇을 속여 데이터를 유출하거나 규칙을 위반하도록 시도합니다.

캠벨은 이렇게 말했습니다: “인터넷의 나머지 부분과 마찬가지로, DNS는 기이하면서도 매력적인 곳일 수 있습니다.”