Nový bezsouborový malware DNSmessenger
Objevil se nový bezsouborový malware, který jako C&C server využívá de facto DNS server, se kterým komunikuje jak jinak než prostřednictvím DNS dotazů, což činí detekci tohoto malware poměrně obtížnou.
Příkazy resp. kód přicházející ve formě standardních DNS odpovědí jsou pak vykonávány v PowerShellu jeho prostým voláním, takže nejsou zapisovány nikam na disk.
Jako vektor útoku byl opět použit e-mail s přílohou, v tomto případě MS Word dokument s makrem. Pokud uživatel makro povolil, tak to se spustilo díky použití funkce Document_Open() a následně došlo k volání dalších funkcí. Ve finále došlo k poskládání PowerShell skriptu, který se nacházel v makru, a jeho spuštění.
Následně došlo k vygenerování dalšího skriptu a ten si zajistil své spuštění zápisem do klíče run v registrech. Tento skript pak navazoval komunikaci s DNS serverem a získával od něj příkazy. Využíval skutečnosti, že jako odpověď ze serveru může přijít neformátovaný text, který je uložen v DNS TXT záznamech.
DNS dotazy byly zasílány na náhodně vybrané servery, které měl malware natvrdo zapsané ve svém kódu. Odpověď pak byla skriptem zpracována a příkaz na provedení byl předán PowerShellu. A výstup z PowerShellu pak byl zase zasílán zpět C&C serveru v rámci dalšího DNS dotazu. Vyměňovaný kód byl ve formátu BASE64 a komprimován pomocí gzip.
Opět se potvrzuje, že je nutné provádět nejen inspekci HTTP, HTTPS, ale i dalších protokolů, a že i prostřednictvím DNS dotazů a odpovědí lze ovládat malware na koncové stanici v síti a v krajním případě exfiltrovat citlivá data v rámci APT útoku.
Více informací a detailní analýzu tohoto bezsouborového malware najdete zde.
ČERMÁK, Miroslav, 2017. Nový bezsouborový malware DNSmessenger. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/novy-bezsouborovy-malware-dnsmessenger/. [citováno 07.12.2024].
Štítky: malware
K článku “Nový bezsouborový malware DNSmessenger” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.