Novi Fileless malware koristi DNS upite da neopaženo šalje komande

DNSMessenger koristi DNS kako bi sproveo maliciozne PowerShell komande na kompromitovanim računarima, zbog čega se teško detektuje.

Novi Fileless malware koristi DNS upite da neopaženo šalje komande

Novi ’fileless’ malver (malver bez fajla) koristi DNS upite kako bi dobio PowerShell komande.

Nije novost reći da se sajber-kriminalci iz dana u dan sve bolje adaptiraju, da su inovativni i da je njihove napade sve teže otkriti. S jedne strane imamo pojavu novih vrsta sajber-kriminala, a sa druge vidimo promenu kod tradicionalnih tehnika koje postaju bolje skrivene, a uključuju eksploataciju standardnih sistemskih alata i protokola koji se ne prate stalno. Poslednjih primer je DNSMessenger – novi RAT (trojanac koji obezbeđuje backdoor ulaz u sistem) koji koristi DNS zahteve kako bi sproveo maliciozne PowerShell komande na kompromitovanim računarima. To je tehnika koja čini da se RAT teško detektuje u sistemu.

DNSMessenger napad je potpuno ’fileless’

Analizom malvera otkriveno je da je u pitanju sofisticirani napad koji se sastoji od malicioznog Word dokumenta i PowerShell backdoora koji komuniciraju sa C&C serverom preko DNS zahteva. DNSMessenger napad je distribuiran preko imejl phishing kampanje, potpuno je fileless (ne zapisuje fajlove na hard disk već koristi DNS TXT mogućnosti za razmenu poruka kako bi povukao maliciozne PowerShell komande koje se čuvaju na udaljenoj lokaciji kao DNS TXT zapisi). Zbog ove opcije standardna anti-malver odbrana ga ne može detektovati.

PowerShell je moćni jezik za skripte koji je ugrađen u Windows i koji dozvoljava automatizaciju system admin zadataka.

Maliciozni Word dokument navodno odobrio McAfee

Maliciozni Word dokument je napravljen tako da zavara korisnika da je u pitanju bezbedan dokument koji je odobrio McAfee.

Pročitajte još: Kako da sprečite da se PowerShell pokreće iz Officea

Kako funkcioniše DNSMessenger napad?

Kada se dokument otvori, pokreće se Visual Basic for Applications (VBA) macro kako bi se izvršila PowerShell skripta u pokušaju da se pokrene backdoor u sistemu koji je meta napada. Interesantno je to što se do ovog trenutka sve obavlja u memoriji, bez zapisivanja bilo kakvih malicioznih fajlova na hard disk.

Zatim, VBA skripta otpakuje kompresovani i sofisticirani PowerShell drugog nivoa, koji uključuje proveru nekoliko parametara u okruženju koje je meta napada – na primer, privilegije logovanog korisnika i instaliranu verziju PowerShella. Ova informacija se koristi za uspostavljanje trajnog prisustva u sistemu mete napada tako što se vrše promene u Windows Registryju i tako što se instalira PowerShell skripta trećeg nivoa koja sadrži jednostavan backdoor. Backdoor se dodaje u Windows Management Instrumentation (WMI) bazu ukoliko žrtva ima admin privilegije, a to omogućava malver backdooru da ostane u sistemu i posle ponovnog pokretanja sistema.

Backdoor je dodatna skripta koja uspostavlja sofisticirani dvosmerni kanal komunikacije sa DNS-om, obično se koristi za pretragu IP adresa povezanih sa imenom domena, a podržava i različite vrste zapisa. DNSMessenger malver backdoor koristi DNS TXT zapise koji po definiciji dozvoljavaju DNS serveru da atačuje neformatirani tekst kao odgovor. Backdoor periodično šalje DNS zahteve nekom iz serije domena koji su ugrađeni u izvorni kod. Kao deo tih zahteva, povlači DNS TXT zapis domena koji sadrži PowerShell komande koje se izvršavaju, a ne zapisuju u lokalni sistem.

PowerShell skripta četvrtog nivoa je u stvari alat za kontrolu sa udaljene lokacije koji koristi napadač. Ova skripta preko C&C servera i DNS TXT zahteva šalje upit koju komandu da izvrši. Onda izvršava svaku komandu koju dobije, a o tome šalje povratnu informaciju u C&C server što omogućava napadaču na izvrši bilo koju komandu za Windows ili aplikacije u kompromitovanom sistemu.

Sve što napadač treba da uradi jeste da ostavi maliciozne komande i instrukcije u TXT zapisima domena koje se pri zahtevu izvršavaju preko Windows Command Line Processor, a rezultat se šalje nazad kao još jedan DNS zahtev.

Domeni registrovani kao DNSMessenger RAT nisu u funkciji tako da se ne zna koje su komande napadači slali kompromitovanim sistemima. Međutim, poznato je da je ovaj konkretni RAT korišćen u manjem broju ciljanih napada.

Ovi napadi ilustruju šta su sve napadači spremni da urade kako bi ostali neprimećeni dok obavljaju aktivnosti u okruženju mete napada. Takođe, napadi pokazuju koliko je važno izvršiti dodatnu inspekciju i filtriranje mrežnih protokola poput HTTP/HTTPS, SMTP/POP3 itd. DNS saobraćaj u korporativnoj mreži je još jedan kanal pomoću kojeg napadači mogu da implementiraju potpuno funkcionalnu, dvosmernu C2 infrastrukturu tako da i to treba imati na umu.

Izvor: thehackernews