Geraffineerde DNS-aanval blijft onder de radar van scanners

De aanval is een schoolvoorbeeld van Living-off-the-Land (LotL): het misbruiken van standaard, vertrouwde systeemtools voor kwaadaardige doeleinden. In dit geval gebruiken aanvallers nslookup — een programma dat normaal wordt gebruikt om DNS-informatie op te vragen — om via DNS-antwoorden een PowerShell-payload binnen te halen.

Misleiding als Sleutel

De techniek steunt op een krachtige combinatie van sociale manipulatie en technische slimheid. "Geen traditionele download, geen exploit, maar een gebruiker die misleid door een overtuigende melding zelf een commando uitvoert," legt Westhovens uit. Omdat de aanval uitsluitend gebruikmaakt van legitieme, door Microsoft gesigneerde binaries, slaan veel traditionele virusscanners geen alarm. Voor een security-systeem lijkt het alsof een gebruiker simpelweg een standaard netwerktest uitvoert.

In het Geheugen

Wat deze methode extra gevaarlijk maakt, is dat de kwaadaardige code volledig in het werkgeheugen (in-memory) kan worden uitgevoerd. Hierdoor blijven er geen sporen achter op de harde schijf, wat forensisch onderzoek bemoeilijkt.

Westhovens benadrukt dat moderne verdediging moet verschuiven van het blokkeren van bestanden naar het analyseren van gedrag. Organisaties die hun DNS-verkeer niet actief monitoren of geen zicht hebben op ongebruikelijke procesketens — zoals nslookup dat direct wordt gevolgd door een PowerShell-opdracht — lopen een aanzienlijk risico.

Strategische Implicaties

De boodschap voor security-leiders is helder: blind vertrouwen op traditionele detectiemechanismen is in 2026 niet langer voldoende. In een nieuw Threat Intelligence Report adviseert Ransomwared organisaties om DNS-telemetrie te integreren in hun EDR- en SIEM-omgevingen om dit soort "bestandsloze" aanvallen tijdig te herkennen.