DNS'ler, uzun zamandır zararlı etkinliğinin önemli noktaları biri durumundalar. Bir hizmeti IP adresinden ayırmak için en iyi yol olduğundan DNS'ler, en çok saldırıya uğrayan protokoller arasındalar. MalwareHunterTeam tarafından keşfedilen Mozart adlı zararlı, komut ve kontrol merkezi oluşturmak için DNS'yi kullanıyor.
Mozart, zararlının girdiği cihazla sunucu arasında doğrudan bir iletişim hattı kuruyor. Bunun için zararlının bulaştığı istemcinin her isteğinin merkezi DNS sunucularını, ilkeleri ve izlemeleri atlatması sağlanıyor. Komutlar, zararlı sunucu ve cihaz arasında gizli DNS TXT kayıtlarıyla gidip geliyor.
Mozart'a karşı korunmak için bir güvenlik duvarı kuralı oluşturmak ve Mozart'a ilişkin IP adreslerini engellemek doğru bir çözüm değil, çünkü zararlı yeni bir IP'den çalışmaya başlayabilir. Bunun yerine belirli DNS sunucuları haricinde 53 portundan çıkan bütün doğrudan erişimi kapatmak gerekiyor.