无文件恶意软件采型用DNS作为隐秘信道
作者:星期一, 三月 6, 20170

DNSMessenger是PowerShell脚本多阶段威胁,采用DNS作为与攻击者双向通信的信道。

malware-600

针对性攻击已经脱离了传统恶意软件,转向更隐蔽的技术。这些技术滥用标准系统工具和协议,其中一些还并非总能被检测到。

最近的例子,是名为DNSMessenger的攻击。思科系统Talos团队分析了该攻击,发现其投放方式比较老套,就是用网络钓鱼邮件附带恶意Word文档。

该文档被打开时,会伪装成英特尔旗下迈克菲杀毒软件的“受保护文档”,要求用户点击启用按钮以查看文档内容。但点击动作实际上就是执行内嵌在文档中的恶意脚本。

talos-dns-malware-doc-450

该恶意脚本是用PowerShell写的。PowerShell是Windows自带的脚本语言,功能很强大,可以自动化系统管理任务。有趣的是,到这一阶段为止,所有这一切都是在内存中进行,磁盘上根本没有写入任何恶意文件。

第二阶段同样是用PowerShell完成,涉及检查多个环境参数,比如已登录用户的权限和已安装PowerShell的版本。这些信息被用来确定进入下一阶段的方式,以及如何成功驻留。

取决于第二阶段检查的结果,另一个PowerShell脚本要么被存入NTFS文件系统的交换数据流(ADS),要么直接写入注册表。第三阶段的PowerShell脚本包含另外的混淆脚本,可基于DNS建立起相当复杂的双向通信信道。

DNS通常用于查询与域名关联的IP地址,但也支持多种记录格式。TXT记录就可在DNS服务器响应中附加无格式文本。

思科Talos团队在博客( http://blog.talosintelligence.com/2017/03/dnsmessenger.html )中写道:“该恶意软件的所有命令与控制(C2)通信,都经由 DNS TXT 查询和响应进行。”

dns-attack-800

攻击者利用该隐秘通信信道发送指令,接收指令执行结果。

公司企业通常会花大力气过滤进出公司网络的HTTP和HTTPS流量,但很少有公司会监测DNS。攻击者清楚这一点,将其他协议封装进DNS协议中来躲避监测。

系统工具的采用,比如PowerShell,以及直接在内存执行的代码,也逐渐成为让攻击检测越来越难的常用技术。

该恶意软件是一个极佳的样本,展现出攻击者在目标环境中隐秘行动的意愿强度。同时,除了HTTP/HTTPS、SMTP/POP3之类网络协议,对其他协议的检查和过滤也应引起重视。公司网络中的DNS流量,也应列入攻击者会用来实现完整双向C2基础设施的考虑之中。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章