Home / Email / Protection en entreprise / Site Web / Quand le DNS devient un vecteur de malware : une nouvelle menace invisible

Quand le DNS devient un vecteur de malware : une nouvelle menace invisible

Le par CyberConseils
Exemple d'attaque par enregistrement DNS TXT utilisée pour injecter un malware via des sous-domaines

Le DNS, ce vieux pilier de l’Internet, semble inoffensif à première vue. Il traduit nos noms de domaines en adresses IP et permet au web de tourner rond. Mais ce que peu d’entreprises réalisent, c’est que ce même DNS peut être détourné pour stocker et délivrer du code malveillant — directement depuis les enregistrements DNS.

Dans un article récent, DomainTools a révélé une attaque inédite : des pirates ont injecté un malware exécutable complet via des enregistrements TXT DNS. Une méthode discrète, furtive… et redoutablement efficace.

De quelle manière les hackers s’y prennent-ils?

Le concept est aussi ingénieux que sournois :

  • Le malware est découpé en petits fragments (souvent encodés en hexadécimal).
  • Ces fragments sont hébergés dans des enregistrements TXT de sous-domaines créés spécifiquement pour cela.
  • Une fois sur la machine de la victime, un script interroge successivement les enregistrements DNS pour reconstituer le fichier exécutable complet.
  • Le fichier est alors déposé et exécuté localement.

C’est l’équivalent numérique de dissimuler un virus en morceaux dans une série de boîtes aux lettres — puis de les ouvrir dans le bon ordre pour l’assembler.

Pourquoi c’est un vrai problème

  • Le DNS est rarement inspecté en profondeur : peu de solutions de sécurité analysent les enregistrements TXT de manière fine.
  • Les pare-feux laissent passer le trafic DNS par défaut, même chiffré (DoH, DoT).
  • La technique est persistante : tant que les enregistrements DNS sont valides, les scripts peuvent se relancer à tout moment.

Et surtout : cette méthode peut contourner les antivirus, les filtres web, et les outils d’analyse statique classiques.

Que peut-on faire pour s’en protéger ?

Voici des mesures concrètes à mettre en œuvre :

1. Restreindre les requêtes DNS sortantes

Autoriser uniquement les serveurs DNS internes ou de confiance, et bloquer tout accès direct aux résolveurs publics (8.8.8.8, 1.1.1.1, etc.).

2. Surveiller les enregistrements TXT

Rechercher des contenus anormalement longs, encodés en hexadécimal, ou contenant des entêtes binaires (MZ, PK, CAFEBABE…).

3. Analyser les logs DNS

Mettre en place des outils comme :

  • Zeek (ex-Bro) ou Suricata pour la détection réseau.
  • dnstwist ou dnspython pour scanner les enregistrements DNS.
  • Un script maison pour détecter des motifs suspects dans les TXT.

4. Auditer et nettoyer ses propres DNS

Supprimer tout enregistrement TXT non utilisé, réduire les TTL, et surveiller les domaines enregistrés par des tiers en typosquatting.

Exemple de script simple de détection DNS (Python)

import dns.resolver

def analyse_txt(domain):
    try:
        answers = dns.resolver.resolve(domain, 'TXT')
        for rdata in answers:
            txt_data = ''.join(rdata.strings)
            if txt_data.startswith('4D5A'):  # Signature PE (MZ)
                print(f"[!] Potentiel malware détecté dans {domain}")
    except Exception as e:
        print(f"Erreur sur {domain} : {e}")

analyse_txt("sub.exemple.com")

Le DNS : un maillon faible souvent négligé

Le cas dévoilé par DomainTools prouve une chose : le DNS est un canal d’attaque sous-estimé. Utilisé intelligemment, il permet de contourner les protections classiques et d’infiltrer des environnements bien sécurisés.

En tant qu’admin système, développeur ou responsable cybersécurité, il est urgent de :

  • Repenser sa stratégie de sécurité DNS,
  • Intégrer l’analyse des métadonnées DNS à ses audits réguliers,
  • Et considérer le DNS comme un vecteur à part entière de la chaîne de compromission.

Conclusion

L’attaque révélée par DomainTools n’est pas un simple cas isolé : elle illustre un tournant dans les stratégies des cybercriminels. En exploitant un service fondamental de l’infrastructure Internet — le DNS — les attaquants démontrent leur capacité à détourner des mécanismes de confiance à leur avantage.

Ce type d’attaque passe souvent sous les radars des solutions de sécurité classiques. Pourtant, avec des outils adaptés et une politique proactive, il est tout à fait possible de s’en prémunir.

Il est temps de reconsidérer le DNS non pas comme un simple service réseau, mais comme un vecteur potentiel d’attaque à surveiller au même titre que le trafic web, les emails ou les ports ouverts.

La cybersécurité moderne ne peut plus ignorer ce maillon faible.