不必執行檔案的惡意軟體?駭客利用DNS查詢遠端執行PowerShell閃避安全軟體追查

現在網路罪犯愈來愈靈活、創新,也愈來愈神出鬼沒了。雖然網路犯罪型態日新月異,但傳統的活動卻反而轉向更鬼祟的手法,攻擊較少被監控的標準工具及協定。 DNSMessenger正是此類攻擊的最新例子:它是一種遠端存取木馬(remote access trojan, RAT),利用DNS查詢流量在有漏洞的電腦上執行惡意PowerShell指令。

現在網路罪犯愈來愈靈活、創新,也愈來愈神出鬼沒了。雖然網路犯罪型態日新月異,但傳統的活動卻反而轉向更鬼祟的手法,攻擊較少被監控的標準工具及協定。

DNSMessenger正是此類攻擊的最新例子:它是一種遠端存取木馬(remote access trojan, RAT),利用DNS查詢流量在有漏洞的電腦上執行惡意PowerShell指令。

這款木馬今年稍早被安全研究人員Simpo發現,並在推特上揭露PowerShell一段程式碼提及思科安全產品SourceFire,因而引發思科旗下的Talos威脅研究部門的追查。

DNSMessenger攻擊完全毋須先下載惡意程式

在追查下,Talos研究人員進而發現一種進階攻擊,它結合了惡意Word文件,以及透過DNS呼叫對外連結C&C伺服器的PowerShell後門程式。

透過網釣信件傳播的DNSMessenger攻擊完全是無檔案形式,它完全不需撰寫檔案來入侵目標系統,而是利用DNS TXT傳訊功能,就像接收DNS TXT紀錄一樣,取得遠端的惡意PowerShell指令。

這種手法使一般安全產品根本無從發現它。

PowerShell是一種內建於Windows的腳本語言,經常用於系統管理工作的自動化執行。

Talos研究人員Edmund Brumaghin與Colin Grady在部落格中指出,歹徒將惡意Word文件偽造成「看似來自受McAfee防護的安全電子郵件服務」。

DNSMessenger的攻擊手法

當惡意Word文件被開啟時,會啟動Visual Basic for Application (VBA)巨集來執行PowerShell腳本程式,藉此在目標機器上跑後門程式。

有趣的是,在此之前,所有過程都是發生在記憶體中,它完全沒有將任何惡意檔案寫入系統磁碟中。

接著,VBA腳本程式會啟動PowerShell的第二階段,這時它會掃瞄目標機器的多個參數,像是登入使用者的權限,以及機器上安裝的PowerShell版本。

接著這些資訊會被用來修改Windows Registry,強化在受感染主機上的潛伏能力,然後安裝第三階段含有後門程式的PowerShell腳本程式。

如果受害者具有管理員權限,這個後門程式就會被植入Windows Management Instrumentation (WMI)資料庫中,使後門程式長留系統中,即使在重開機中也不會消滅。

這個後門程式是額外加入的腳本程式,可在DNS上建立高明的雙向通訊管道—DNS一般是用來查詢與網域名的IP位址,但它還支援其他不同種紀錄。

DNSMessenger後門程式使用的DNS TXT紀錄,可讓DNS伺服器在回應中附加無格式的文字。

它會定期將DNS呼叫傳送到寫死在它程式碼中的一系列網域。它經由呼叫取得網域的DNS TXT紀錄,當中包含更多不會寫入到本機,但會執行的PowerShell指令。

現在,第3階段的PowerShell腳本程式實際上已經成為攻擊者的遠端控制工具了。

這段腳本程式透過DNS TXT訊息向C&C伺服器發出查詢,詢問該執行什麼指令。它接到什麼指令就會執行什麼,再把結果回傳給C&C伺服器,讓攻擊者可以對感染系統執行任何Windows或應用程式指令。

攻擊者唯一的工作就只是把惡意指令和指示放進網域的TXT紀錄中,等查詢時,再經由Windows Command Line Processor執行,結果隨下一次DNS查詢回傳。

DNSMessenger RAT註冊的網域現在都下線了,因此到目前為止攻擊者是對感染系統下什麼指令還不得而知。但是研究人員表示,這款RAT已經被用於少量精準攻擊中。

「這款惡意程式樣本說明了攻擊者可長期隱匿潛伏,並在目標受害環境中行動的能力。」Talos研究人員表示。

「它也說明了,除了監控與過濾網路協定,像是HTTP/HTTPS、SMTP/POP3之外,也要小心企業網路中的DNS流量可被當成攻擊者部署完整雙向通訊環境的管道。」

DNSMessenger並非安全人員發現的第一宗無檔案惡意程式。上個月初,卡巴斯基研究人員也發現了一款無檔案惡意程式會長駐在受害電腦的記憶體中,全球40國的銀行、電信公司及政府機構遭到攻擊。

Source: The Hacker News

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416