ในขณะที่ผู้ใช้อินเทอร์เน็ตส่วนใหญ่อาจไม่ทันได้ระวังตัว ล่าสุดมีรายงานจากบริษัทความปลอดภัยไซเบอร์ DomainTools ว่าพบมัลแวร์ซ่อนอยู่ภายในระบบ DNS (Domain Name System) ซึ่งเป็นระบบที่เปรียบเสมือนสมุดโทรศัพท์ของโลกอินเทอร์เน็ต ช่วยแปลงชื่อเว็บไซต์เป็นหมายเลข IP ที่คอมพิวเตอร์สามารถเข้าใจและเชื่อมต่อกันได้
ครั้งนี้ดูเหมือนโชคยังเข้าข้าง เพราะตัวมัลแวร์ที่ถูกค้นพบเป็นเพียง “prank software” หรือซอฟต์แวร์แกล้งเล่น ซึ่งสร้างความรำคาญหรือหลอกลวงผู้ใช้ เช่น แสดงข้อความผิดพลาดปลอม ภาพเคลื่อนไหวตลก หรือเลียนแบบการลบไฟล์ในเครื่อง โดยยังไม่มีสัญญาณว่าถูกนำไปใช้ในการโจมตีระดับร้ายแรง…แต่ก็ถือเป็นสัญญาณเตือนที่ไม่ควรมองข้าม
DNS คืออะไร ทำไมถึงเสี่ยง?
DNS ทำหน้าที่เป็นตัวกลางที่แปลงชื่อเว็บไซต์อย่าง example.com ไปเป็น IP Address เพื่อให้เบราว์เซอร์รู้ว่าจะต้องเชื่อมต่อไปยังเซิร์ฟเวอร์ไหน หากไม่มีระบบนี้ เราจะต้องจำหมายเลข IP ยาว ๆ แทนชื่อโดเมนที่ใช้งานสะดวกในปัจจุบัน
ระบบนี้ถูกใช้อย่างแพร่หลายทั่วโลก และนั่นแหละคือเหตุผลที่มันกลายเป็น “เป้าหมาย” ให้แฮกเกอร์พยายามหาวิธีซุกซ่อนข้อมูลอันตรายภายในให้แนบเนียนที่สุด
ซ่อนมัลแวร์ไว้ใน DNS ได้อย่างไร?
นักวิจัยด้านความปลอดภัย Ben Cartwright-Cox เคยอธิบายไว้ว่า DNS TXT Record (ข้อมูลแบบข้อความที่ฝังอยู่ใน DNS) นั้นสามารถถูกนำมาใช้เป็นพื้นที่จัดเก็บไฟล์แบบเรียบง่ายได้ โดยเริ่มจากไฟล์ข้อความธรรมดา แต่ในเวลาต่อมาก็พบว่ามีการซ่อน “ภาพ” และ “ข้อมูลไบนารี” อื่น ๆ ลงไปใน DNS ด้วย
ทีมของ DomainTools จึงตัดสินใจค้นหาข้อมูลใน DNS Records โดยเจาะจงหาบรรทัดแรกของข้อมูลที่มีลักษณะคล้าย “magic bytes” หรือข้อมูลเฉพาะที่ใช้ระบุชนิดของไฟล์ เช่น ไฟล์ภาพ เพลง หรือโปรแกรมติดตั้งต่าง ๆ ซึ่งปกติจะใช้ระบุประเภทของไฟล์จริงโดยไม่พึ่งแค่ชื่อไฟล์นามสกุล
ผลที่ได้คือพวกเขาค้นพบ DNS Records ที่ฝังมัลแวร์จริง โดยพบว่ามีการใช้งานในช่วงปี 2021–2022
มัลแวร์ที่พบเป็นอะไร?
จากการวิเคราะห์ของ DomainTools มัลแวร์ที่ตรวจพบคือซอฟต์แวร์ประเภท Joke หรือ ScreenMate ซึ่งเป็นซอฟต์แวร์แกล้งเล่น ที่อาจแสดงภาพหรือข้อความที่ก่อความรำคาญ เช่น ข้อความไวรัสปลอม ภาพเคลื่อนไหวลบไฟล์ปลอม ๆ หรือแม้แต่ทำให้ระบบช้าลงอย่างผิดปกติ
นอกจากนี้ยังพบว่า DNS Records เหล่านั้นอาจถูกใช้เป็น “ตัวสั่งการ” (Stager) ให้กับมัลแวร์ที่ร้ายแรงกว่าด้วย เช่น Covenant C2 ซึ่งเป็นระบบควบคุมจากระยะไกลที่แฮกเกอร์นิยมใช้ในปฏิบัติการแฮ็ก
ความเสี่ยงต่อไป: อาจถูกใช้แพร่มัลแวร์จริงจัง
แม้กรณีนี้จะเป็นเพียงมัลแวร์เล่นสนุก แต่การค้นพบนี้ได้ชี้ให้เห็นว่า DNS สามารถกลายเป็นช่องทางแฝงตัวของข้อมูลไม่พึงประสงค์ หรือแม้แต่มัลแวร์ที่ร้ายแรงในอนาคตได้ง่ายกว่าที่เคยคิดไว้ เพราะเป็นระบบพื้นฐานที่แทบไม่มีใครระแวดระวัง
ที่ผ่านมาเราอาจคุ้นชินกับการใช้ DNS เพียงแค่เพื่อเรียกเว็บไซต์ แต่เมื่อมันถูกใช้เป็น “ที่เก็บซ่อนข้อมูล” ด้วยความสามารถในการรับข้อความหลายรูปแบบ ช่องโหว่นี้อาจเปิดทางให้เกิดภัยคุกคามทางไซเบอร์แบบใหม่ที่ตรวจจับได้ยากมากขึ้น
บทสรุป: DNS ไม่ได้แค่ช่วยให้เข้าเว็บไซต์ แต่กำลังเป็น “ช่องโหว่” สำคัญ
การค้นพบมัลแวร์ฝังอยู่ใน DNS TXT Record ถือเป็นอีกหนึ่งตัวอย่างว่าแม้แต่ระบบพื้นฐานของอินเทอร์เน็ตก็อาจกลายเป็นเหยื่อของการโจมตีทางไซเบอร์ได้ หากไม่มีการป้องกันที่เหมาะสม แม้ตอนนี้ภัยจะยังอยู่ในระดับเบา แต่ก็เป็นสัญญาณเตือนว่าเราต้องหันมาใส่ใจเรื่องความปลอดภัยมากยิ่งขึ้น ตั้งแต่ระดับเซิร์ฟเวอร์ไปจนถึงอุปกรณ์ปลายทางของผู้ใช้งาน
อัปเดตล่าสุด: ขณะนี้ยังไม่มีรายงานว่า DNS ที่ฝังมัลแวร์เหล่านี้ถูกใช้งานโจมตีแบบวงกว้าง แต่ผู้ดูแลระบบเครือข่ายและนักพัฒนาเว็บไซต์ควรหมั่นตรวจสอบ DNS Records และบันทึกความผิดปกติไว้เสมอ เพื่อรับมือกับภัยคุกคามรูปแบบใหม่ที่อาจเกิดขึ้นในอนาคตอันใกล้
ที่มา: tomshardware
