Авторы вредоносных программ никогда не найти новые способы делать то же самое, чтобы уйти под радар AV и. Недавно Cisco по безопасности исследователи команды Талос заметил новинка в борьбе эксплуатируемых компьютеров. Окрестили DNSMessenger, это инструмент удаленного администрирования (крыса), что используется DNS, чтобы общаться с командования и управления серверами.
Цепь DNSMessenger Инфекции
Хотя вектор атаки включает в себя файл, атака выполняется полностью в памяти и не оставляет следов на диске.
Есть хороший ложное сообщение удалив в попытке стимулировать людей, чтобы разрешить макросы.
Сценарий приспосабливается к окружению, главным образом в зависимости от привилегий эксплуатируемых пользователя и версии PowerShell. Это делается в функции pre_logic ниже (код deobfuscated на Талос).
На основе двух коммутаторов, вредоносная программа будет решать, казнить и добавить упорства. Помимо переключатели, функция содержит пять параметров, которые используются, чтобы определить, какие поддомены использовать при отправке DNS-записи запросов txt в следующий этап.
Если Администратор эксплуатируется:
Строка собрана, сжата, в base64 декодируется в команду cmd.exe с помощью PowerShell. Система эффективно владели с помощью PowerShell и DNS. Оригинальный канал связи очень помогли с AV проверяем эвристики. В сочетании с тем фактом, что атака fileless, он был уклончив для всех АВС.
Хотя он не был замечен в этом вредоносные программы, на основе DNS крыса также может получить и запуска исполняемых файлов через DNS-запросы в формате txt, как обычные ПК.
Заключение
Авторы вредоносных программ часто найти инновации, которые ставят антивирус оппозицию в трудное положение. Этот образец является отличным примером, почему весь интернет-трафик должен быть исследован при поиске вредоносных программ.
Цепь DNSMessenger Инфекции
Хотя вектор атаки включает в себя файл, атака выполняется полностью в памяти и не оставляет следов на диске.
- Документ “обеспеченный компанией McAfee”
Есть хороший ложное сообщение удалив в попытке стимулировать людей, чтобы разрешить макросы.
- Попадая В PowerShell
Сценарий приспосабливается к окружению, главным образом в зависимости от привилегий эксплуатируемых пользователя и версии PowerShell. Это делается в функции pre_logic ниже (код deobfuscated на Талос).
На основе двух коммутаторов, вредоносная программа будет решать, казнить и добавить упорства. Помимо переключатели, функция содержит пять параметров, которые используются, чтобы определить, какие поддомены использовать при отправке DNS-записи запросов txt в следующий этап.
- Делая себя дома
Если Администратор эксплуатируется:
- $reg_win_path: “в HKLM:программное обеспечение\Microsoft\окна\CurrentVersion равное”
- $reg_run_path: “в HKLM:программное обеспечение\Microsoft\окна\CurrentVersion равное\бежать\”
- $reg_win_path: “в hkcu:программное обеспечение\Microsoft\окна”
- $reg_run_path: “в hkcu:программное обеспечение\Microsoft\окна\CurrentVersion равное\бежать\”
- Удаленный Доступ
Строка собрана, сжата, в base64 декодируется в команду cmd.exe с помощью PowerShell. Система эффективно владели с помощью PowerShell и DNS. Оригинальный канал связи очень помогли с AV проверяем эвристики. В сочетании с тем фактом, что атака fileless, он был уклончив для всех АВС.
Хотя он не был замечен в этом вредоносные программы, на основе DNS крыса также может получить и запуска исполняемых файлов через DNS-запросы в формате txt, как обычные ПК.
Заключение
Авторы вредоносных программ часто найти инновации, которые ставят антивирус оппозицию в трудное положение. Этот образец является отличным примером, почему весь интернет-трафик должен быть исследован при поиске вредоносных программ.