Nový bezsouborový malware DNSmessenger

Objevil se nový bezsouborový malware, který jako C&C server využívá de facto DNS server, se kterým komunikuje jak jinak než prostřednictvím DNS dotazů, což činí detekci tohoto malware poměrně obtížnou.

Příkazy resp. kód přicházející ve formě standardních DNS odpovědí jsou pak vykonávány v PowerShellu jeho prostým voláním, takže nejsou zapisovány nikam na disk.

Jako vektor útoku byl opět použit e-mail s přílohou, v tomto případě MS Word dokument s makrem. Pokud uživatel makro povolil, tak to se spustilo díky použití funkce Document_Open() a následně došlo k volání dalších funkcí. Ve finále došlo k poskládání PowerShell skriptu, který se nacházel v makru, a jeho spuštění.

Následně došlo k vygenerování dalšího skriptu a ten si zajistil své spuštění zápisem do klíče run v registrech. Tento skript pak navazoval komunikaci s DNS serverem a získával od něj příkazy. Využíval skutečnosti, že jako odpověď ze serveru může přijít neformátovaný text, který je uložen v DNS TXT záznamech.

DNS dotazy byly zasílány na náhodně vybrané servery, které měl malware natvrdo zapsané ve svém kódu. Odpověď pak byla skriptem zpracována a příkaz na provedení byl předán PowerShellu. A výstup z PowerShellu pak byl zase zasílán zpět C&C serveru v rámci dalšího DNS dotazu. Vyměňovaný kód byl ve formátu BASE64 a komprimován pomocí gzip.

Opět se potvrzuje, že je nutné provádět nejen inspekci HTTP, HTTPS, ale i dalších protokolů, a že i prostřednictvím DNS dotazů a odpovědí lze ovládat malware na koncové stanici v síti a v krajním případě exfiltrovat citlivá data v rámci APT útoku.

Více informací a detailní analýzu tohoto bezsouborového malware najdete zde.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2017. Nový bezsouborový malware DNSmessenger. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/novy-bezsouborovy-malware-dnsmessenger/. [citováno 07.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Nový bezsouborový malware DNSmessenger” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: