Artikel: .geek: Hacker draait DOOM volledig in DNS-records
Auteur: @TijsZonderH
Wat deze opzet zo sterk maakt, is dat het volledig leunt op een living-off-the-land methodologie binnen Windows 10 en 11. Door de code via PowerShell of procesinjectie direct in het RAM te laden, raakt de payload de schijf nooit aan (fileless execution). Hierdoor omzeil je de traditionele, op hashes gebaseerde antivirus volledig. Zodra je ook nog de AMSI-checks in-memory patcht, zweeft je code feitelijk onzichtbaar rond in legitieme Windows-processen zoals svchost.exe.
Vervolgens misbruik je de native dnsapi.dll om via de ingebouwde Windows Dnscache-service queries af te vuren. Omdat elk modern bedrijfsnetwerk poort 53 (UDP) open moet zetten voor recursieve lookups, fungeert de DNS-architectuur hier als een universele proxy. De input-delta's gecodeerd in de QNAME (upstream) en de gamestate verpakt in gecachte TXT-records met een TTL van 0 (downstream) vormen zo een ad-hoc transportlaag.
Voor een SOC/SIEM-analist is dit natuurlijk een bekende nachtmerrie, al valt zo'n actieve gamestream door het extreme query-volume en de unieke subdomeinen gelukkig snel op in de gedragsanalyse (EDR) van modern netwerkverkeer. Desalniettemin een geniale demonstratie van hoe robuust en misbruikbaar de basisprotocollen van het internet nog altijd zijn.
Auteur: @TijsZonderH
Wat deze opzet zo sterk maakt, is dat het volledig leunt op een living-off-the-land methodologie binnen Windows 10 en 11. Door de code via PowerShell of procesinjectie direct in het RAM te laden, raakt de payload de schijf nooit aan (fileless execution). Hierdoor omzeil je de traditionele, op hashes gebaseerde antivirus volledig. Zodra je ook nog de AMSI-checks in-memory patcht, zweeft je code feitelijk onzichtbaar rond in legitieme Windows-processen zoals svchost.exe.
Vervolgens misbruik je de native dnsapi.dll om via de ingebouwde Windows Dnscache-service queries af te vuren. Omdat elk modern bedrijfsnetwerk poort 53 (UDP) open moet zetten voor recursieve lookups, fungeert de DNS-architectuur hier als een universele proxy. De input-delta's gecodeerd in de QNAME (upstream) en de gamestate verpakt in gecachte TXT-records met een TTL van 0 (downstream) vormen zo een ad-hoc transportlaag.
Voor een SOC/SIEM-analist is dit natuurlijk een bekende nachtmerrie, al valt zo'n actieve gamestream door het extreme query-volume en de unieke subdomeinen gelukkig snel op in de gedragsanalyse (EDR) van modern netwerkverkeer. Desalniettemin een geniale demonstratie van hoe robuust en misbruikbaar de basisprotocollen van het internet nog altijd zijn.