吳明宜現在網路罪犯愈來愈靈活、創新,也愈來愈神出鬼沒了。雖然網路犯罪型態日新月異,但傳統的活動卻反而轉向更鬼祟的手法,攻擊較少被監控的標準工具及協定。
DNSMessenger 正是此類攻擊的最新例子:它是一種遠端存取木馬 (remote access trojan, RAT),利用 DNS 查詢流量在有漏洞的電腦上執行惡意 PowerShell 指令。
這款木馬今年稍早被安全研究人員 Simpo 發現,並在推特上揭露 PowerShell 一段程式碼提及思科安全產品 SourceFire,因而引發思科旗下的 Talos 威脅研究部門的追查。
本文目錄
DNSMessenger 攻擊完全毋須先下載惡意程式
在追查下,Talos 研究人員進而發現一種進階攻擊,它結合了惡意 Word 文件,以及透過 DNS 呼叫對外連結 C&C 伺服器的 PowerShell 後門程式。
透過網釣信件傳播的 DNSMessenger 攻擊完全是無檔案形式,它完全不需撰寫檔案來入侵目標系統,而是利用 DNS TXT 傳訊功能,就像接收 DNS TXT 紀錄一樣,取得遠端的惡意 PowerShell 指令。
這種手法使一般安全產品根本無從發現它。
PowerShell 是一種內建於 Windows 的腳本語言,經常用於系統管理工作的自動化執行。
Talos 研究人員 Edmund Brumaghin 與 Colin Grady 在部落格中指出,歹徒將惡意 Word 文件偽造成「看似來自受 McAfee 防護的安全電子郵件服務」。
DNSMessenger 的攻擊手法
當惡意 Word 文件被開啟時,會啟動 Visual Basic for Application (VBA) 巨集來執行 PowerShell 腳本程式,藉此在目標機器上跑後門程式。
有趣的是,在此之前,所有過程都是發生在記憶體中,它完全沒有將任何惡意檔案寫入系統磁碟中。
接著,VBA 腳本程式會啟動 PowerShell 的第二階段,這時它會掃瞄目標機器的多個參數,像是登入使用者的權限,以及機器上安裝的 PowerShell 版本。
接著這些資訊會被用來修改 Windows Registry,強化在受感染主機上的潛伏能力,然後安裝第三階段含有後門程式的 PowerShell 腳本程式。
如果受害者具有管理員權限,這個後門程式就會被植入 Windows Management Instrumentation (WMI) 資料庫中,使後門程式長留系統中,即使在重開機中也不會消滅。
這個後門程式是額外加入的腳本程式,可在 DNS 上建立高明的雙向通訊管道—DNS 一般是用來查詢與網域名的 IP 位址,但它還支援其他不同種紀錄。
DNSMessenger 後門程式使用的 DNS TXT 紀錄,可讓 DNS 伺服器在回應中附加無格式的文字。
它會定期將 DNS 呼叫傳送到寫死在它程式碼中的一系列網域。它經由呼叫取得網域的 DNS TXT 紀錄,當中包含更多不會寫入到本機,但會執行的 PowerShell 指令。
現在,第 3 階段的 PowerShell 腳本程式實際上已經成為攻擊者的遠端控制工具了。
這段腳本程式透過 DNS TXT 訊息向 C&C 伺服器發出查詢,詢問該執行什麼指令。它接到什麼指令就會執行什麼,再把結果回傳給 C&C 伺服器,讓攻擊者可以對感染系統執行任何 Windows 或應用程式指令。
攻擊者唯一的工作就只是把惡意指令和指示放進網域的 TXT 紀錄中,等查詢時,再經由 Windows Command Line Processor 執行,結果隨下一次 DNS 查詢回傳。
DNSMessenger RAT 註冊的網域現在都下線了,因此到目前為止攻擊者是對感染系統下什麼指令還不得而知。但是研究人員表示,這款 RAT 已經被用於少量精準攻擊中。
「這款惡意程式樣本說明了攻擊者可長期隱匿潛伏,並在目標受害環境中行動的能力。」Talos 研究人員表示。
「它也說明了,除了監控與過濾網路協定,像是 HTTP/HTTPS 、 SMTP/POP3 之外,也要小心企業網路中的 DNS 流量可被當成攻擊者部署完整雙向通訊環境的管道。」
DNSMessenger 並非安全人員發現的第一宗無檔案惡意程式。上個月初,卡巴斯基研究人員也發現了一款無檔案惡意程式會長駐在受害電腦的記憶體中,全球 40 國的銀行、電信公司及政府機構遭到攻擊。
Source: The Hacker News