Hacker draait DOOM volledig in DNS-records

Pagina: 1
Acties:
  • 444 views

  • janna123
  • Registratie: Juli 2026
  • Laatst online: 17:34
Artikel: .geek: Hacker draait DOOM volledig in DNS-records
Auteur: @TijsZonderH

Wat deze opzet zo sterk maakt, is dat het volledig leunt op een living-off-the-land methodologie binnen Windows 10 en 11. Door de code via PowerShell of procesinjectie direct in het RAM te laden, raakt de payload de schijf nooit aan (fileless execution). Hierdoor omzeil je de traditionele, op hashes gebaseerde antivirus volledig. Zodra je ook nog de AMSI-checks in-memory patcht, zweeft je code feitelijk onzichtbaar rond in legitieme Windows-processen zoals svchost.exe.

​Vervolgens misbruik je de native dnsapi.dll om via de ingebouwde Windows Dnscache-service queries af te vuren. Omdat elk modern bedrijfsnetwerk poort 53 (UDP) open moet zetten voor recursieve lookups, fungeert de DNS-architectuur hier als een universele proxy. De input-delta's gecodeerd in de QNAME (upstream) en de gamestate verpakt in gecachte TXT-records met een TTL van 0 (downstream) vormen zo een ad-hoc transportlaag.

​Voor een SOC/SIEM-analist is dit natuurlijk een bekende nachtmerrie, al valt zo'n actieve gamestream door het extreme query-volume en de unieke subdomeinen gelukkig snel op in de gedragsanalyse (EDR) van modern netwerkverkeer. Desalniettemin een geniale demonstratie van hoe robuust en misbruikbaar de basisprotocollen van het internet nog altijd zijn.

  • Room42
  • Registratie: September 2001
  • Niet online
janna123 schreef op donderdag 9 juli 2026 @ 21:55:
Artikel: .geek: Hacker draait DOOM volledig in DNS-records
Auteur: @TijsZonderH

Wat deze opzet zo sterk maakt, is dat het volledig leunt op een living-off-the-land methodologie binnen Windows 10 en 11. Door de code via PowerShell of procesinjectie direct in het RAM te laden, raakt de payload de schijf nooit aan (fileless execution). Hierdoor omzeil je de traditionele, op hashes gebaseerde antivirus volledig. Zodra je ook nog de AMSI-checks in-memory patcht, zweeft je code feitelijk onzichtbaar rond in legitieme Windows-processen zoals svchost.exe.

​Vervolgens misbruik je de native dnsapi.dll om via de ingebouwde Windows Dnscache-service queries af te vuren. Omdat elk modern bedrijfsnetwerk poort 53 (UDP) open moet zetten voor recursieve lookups, fungeert de DNS-architectuur hier als een universele proxy. De input-delta's gecodeerd in de QNAME (upstream) en de gamestate verpakt in gecachte TXT-records met een TTL van 0 (downstream) vormen zo een ad-hoc transportlaag.

​Voor een SOC/SIEM-analist is dit natuurlijk een bekende nachtmerrie, al valt zo'n actieve gamestream door het extreme query-volume en de unieke subdomeinen gelukkig snel op in de gedragsanalyse (EDR) van modern netwerkverkeer. Desalniettemin een geniale demonstratie van hoe robuust en misbruikbaar de basisprotocollen van het internet nog altijd zijn.
@janna123, mooie aanvulling. Had dit niet beter in de reacties onder het bericht gepast? Hier ga je niet veel gezien worden c.q. reactie krijgen, en het lijkt ook geen inhoudelijk feedback voor de auteur.

[ Voor 80% gewijzigd door Room42 op 09-07-2026 23:30 ]

Koop al mijn ads!


  • mrmrmr
  • Registratie: April 2007
  • Niet online

mrmrmr

𓅓 𓂋 𓅓 𓂋 𓅓 𓂋

janna123 schreef op donderdag 9 juli 2026 @ 21:55:
Vervolgens misbruik je de native dnsapi.dll om via de ingebouwde Windows Dnscache-service queries af te vuren.
Het is gewoon een query voor meerdere TXT records en dat zou ik niet zo snel misbruik van DNSAPI noemen. Daar is DNSAPI gewoon voor bedoeld, net als andere API's. DNSAPI is niet hetzelde als de cache functie van Windows, de laatste bestond al langer.

Het misbruik zit hem in gebruik van TXT records om een executable te vormen. Het beveiligingsprobleem is vooral aanwezig aan de clientzijde die de data laat omzetten in een executable en zonder waarschuwing of toestemming kan uitvoeren als executable.

  • janna123
  • Registratie: Juli 2026
  • Laatst online: 17:34
Je stelt dat het echte probleem aan de clientzijde zit, waar de binnengehaalde base64- of hex-strings uit de TXT-records weer aan elkaar worden geknoopt en uitgevoerd. Dat is absoluut waar: zonder een 'stager' of 'dropper' die de DNS-data reconstrueert naar een executable en deze in het geheugen uitvoert (bijvoorbeeld via Process Injection of Reflective DLL Loading), doen die DNS-queries niks.

  • TijsZonderH
  • Registratie: Maart 2012
  • Laatst online: 23:08

TijsZonderH

Nieuwscoördinator
Dit forum is voor feedback aan de redactie. Ik vind dit heel coole aanvullende info maar dat is niet voor hier, dus ik sluit het topic :)

Wilt u meer handtekeningen lezen, blijf dan aan de lijn.


Dit topic is gesloten.