Trong khi nhiều tổ chức vẫn tập trung bảo vệ hệ thống trước các hình thức tấn công truyền thống, giới hacker đang chuyển sang khai thác những kênh truyền dữ liệu ít được chú ý như DNS (Domain Name System). Kết hợp cùng AI, phương pháp tấn công mới không chỉ giúp kẻ xấu vượt qua hầu hết giải pháp bảo mật hiện tại mà còn mở ra nguy cơ bùng phát các chiến dịch phát tán mã độc quy mô lớn trong thời gian tới.
Phương thức Hacker tấn công bằng DNS và AI
Thay vì sử dụng các file đính kèm hay đường dẫn độc hại dễ bị phát hiện, hacker lợi dụng hệ thống DNS để giấu và phát tán mã độc một cách tinh vi. Cụ thể, mã độc được chia nhỏ thành các đoạn mã hóa dạng hexadecimal và lưu trữ trong DNS TXT record trên hàng trăm subdomain khác nhau. Khi một thiết bị bị nhiễm, các đoạn mã này sẽ được tải về từng phần, sau đó được tái cấu trúc thành mã độc hoàn chỉnh nhờ các script do AI sinh ra.
Ngoài ra, một số chiến dịch còn sử dụng các script PowerShell được nhúng trực tiếp trong TXT record để thiết lập kết nối ngầm tới máy chủ điều khiển C2, thông qua các công cụ hợp pháp như Covenant. Một trong những ví dụ điển hình là biến thể malware Joke Screenmate – phần mềm giả mạo gây gián đoạn hoạt động hệ thống.
Đáng lo ngại hơn, sự phổ biến của các công nghệ mã hóa DNS như DNS-over-HTTPS (DoH) và DNS-over-TLS (DoT) đã khiến việc phát hiện các truy vấn DNS độc hại trở nên khó khăn hơn bao giờ hết. Lưu lượng DNS được mã hóa khiến hầu hết tường lửa và hệ thống bảo mật truyền thống không thể giám sát hiệu quả.
Tại sao phương pháp này nguy hiểm?
Phương pháp tấn công mới này khai thác một trong những kênh truyền dữ liệu ít được giám sát nhất – DNS TXT record. Do đặc thù là trường dữ liệu văn bản tuỳ ý, TXT record thường bị bỏ qua trong quá trình phân tích an ninh. Kết hợp với kỹ thuật mã hóa hexadecimal, hacker có thể dễ dàng giấu đoạn mã độc nhỏ bên trong.
Quan trọng hơn, việc sử dụng AI để tự động viết và điều chỉnh các script giúp kẻ tấn công tăng tốc quá trình tái cấu trúc mã độc và giảm đáng kể sự phụ thuộc vào thao tác thủ công. Điều này làm cho chuỗi tấn công trở nên linh hoạt, khó lường và có thể mở rộng quy mô nhanh chóng.
Bên cạnh đó, việc lưu lượng DNS ngày càng được mã hóa theo tiêu chuẩn DoH/DoT tạo thành lớp ngụy trang gần như hoàn hảo. Các tổ chức không vận hành hệ thống DNS nội bộ hoặc không có giải pháp kiểm tra sâu lưu lượng (Deep Packet Inspection) sẽ rất khó phát hiện và ngăn chặn được phương thức tấn công này.
Doanh nghiệp cần làm gì để phòng tránh?
- Giám sát DNS chuyên sâu: Tăng cường giám sát DNS, đặc biệt là các truy vấn tới các TXT record đáng ngờ, nên triển khai các giải pháp phân tích lưu lượng DNS nâng cao.
- Sử dụng DNS nội bộ: Quản lý và vận hành DNS nội bộ để kiểm soát chặt chẽ các truy vấn DNS, hạn chế việc phụ thuộc vào các dịch vụ DNS công cộng.
- Hạn chế DNS-over-HTTPS/TLS khi không cần thiết: Cân nhắc chặn hoặc kiểm soát nghiêm ngặt lưu lượng DNS được mã hóa để bảo vệ hệ thống nội bộ.
- Nâng cao nhận thức nhân viên: Tăng cường đào tạo về phương thức tấn công mới này và nâng cao nhận thức về an toàn mạng.
- Triển khai kiểm tra sâu gói tin (DPI): Áp dụng các công cụ Deep Packet Inspection để phân tích lưu lượng mạng một cách chi tiết, phát hiện các truy vấn DNS bất thường.
Tóm lại: Việc hacker sử dụng DNS làm kênh giấu mã độc kết hợp cùng AI tái cấu trúc đang đặt ra bài toán khó cho các hệ thống bảo mật truyền thống. Khi các công nghệ mã hóa DNS trở thành tiêu chuẩn, các phương thức tấn công dạng này sẽ ngày càng khó phát hiện và ngăn chặn hơn. Doanh nghiệp và tổ chức cần nhanh chóng cập nhật các biện pháp phòng thủ phù hợp để bảo vệ dữ liệu và hệ thống trước nguy cơ tấn công qua DNS ngày càng tinh vi.