dnsmessenger是powershell腳本多階段威脅,采用dns作為與攻擊者雙向通信的信道。
針對性攻擊已經脫離了傳統惡意軟體,轉向更隐蔽的技術。這些技術濫用标準系統工具和協定,其中一些還并非總能被檢測到。
最近的例子,是名為dnsmessenger的攻擊。思科系統talos團隊分析了該攻擊,發現其投放方式比較老套,就是用網絡釣魚郵件附帶惡意word文檔。
該文檔被打開時,會僞裝成英特爾旗下邁克菲防毒軟體的“受保護文檔”,要求使用者點選啟用按鈕以檢視文檔内容。但點選動作實際上就是執行内嵌在文檔中的惡意腳本。
該惡意腳本是用powershell寫的。powershell是windows自帶的腳本語言,功能很強大,可以自動化系統管理任務。有趣的是,到這一階段為止,所有這一切都是在記憶體中進行,磁盤上根本沒有寫入任何惡意檔案。
第二階段同樣是用powershell完成,涉及檢查多個環境參數,比如已登入使用者的權限和已安裝powershell的版本。這些資訊被用來确定進入下一階段的方式,以及如何成功駐留。
取決于第二階段檢查的結果,另一個powershell腳本要麼被存入ntfs檔案系統的交換資料流(ads),要麼直接寫入系統資料庫。第三階段的powershell腳本包含另外的混淆腳本,可基于dns建立起相當複雜的雙向通信信道。
dns通常用于查詢與域名關聯的ip位址,但也支援多種記錄格式。txt記錄就可在dns伺服器響應中附加無格式文本。
攻擊者利用該隐秘通信信道發送指令,接收指令執行結果。
公司企業通常會花大力氣過濾進出公司網絡的http和https流量,但很少有公司會監測dns。攻擊者清楚這一點,将其他協定封裝進dns協定中來躲避監測。
系統工具的采用,比如powershell,以及直接在記憶體執行的代碼,也逐漸成為讓攻擊檢測越來越難的常用技術。
該惡意軟體是一個極佳的樣本,展現出攻擊者在目标環境中隐秘行動的意願強度。同時,除了http/https、smtp/pop3之類網絡協定,對其他協定的檢查和過濾也應引起重視。公司網絡中的dns流量,也應列入攻擊者會用來實作完整雙向c2基礎設施的考慮之中。
本文轉自d1net(轉載)
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)