В целевых атаках все чаще используется вредоносное ПО, применяющее скрытые техники, предполагающие эксплуатацию стандартных системных инструментов и протоколов, особенно тех, что не подвергаются особому контролю.
С одним из таких случаев столкнулись специалисты команды Cisco Talos, обнаружившие атаку, в ходе которой многофункциональное вредоносное ПО под названием DNSMessenger использует DNS для установки двустороннего канала связи со своими операторами.
Вредоносное ПО распространяется в рамках фишинговой кампании под видом защищенного документа Microsoft Word. По аналогии с другими подобными атаками, для просмотра содержимого документа пользователь должен нажать на соответствующую опцию, тем самым запуская исполнение встроенного вредоносного Powershell скрипта.
На втором этапе вредоносное ПО проверяет окружение на предмет ряда параметров, например, определяет права пользователя на системе, а также установленную версию Powershell. На основе данной информации принимается решение о дальнейших действиях. В зависимости от результатов проверки выбирается локация хранения второго вредоносного скрипта - либо в ADS (альтернативные потоки данных) в файловой системе NTFS, либо непосредственно в реестре Windows.
Скрипт содержит дополнительный обфусцированный код, устанавливающий двусторонний канал связи через DNS, который позволяет злоумышленникам отправлять команды вредоносу и получать ответы от него. Как правило, DNS (Domain Name System, система доменных имен) используется для получения информации о доменах и связанных с ними IP-адресами, однако система поддерживает различные типы записей, в частности, TXT.
«Все коммуникации с управляющим сервером осуществляются посредством DNS TXT запросов, - пояснили специалисты Cisco Talos. Обычно организации уделяют внимание мониторингу HTTP- и HTTPS-трафика в своих сетях, но только немногие проводят мониторинг DNS, чем и пользуются преступники, отметили эксперты.
