Siber suçların yeni türleri gelişirken, geleneksel etkinlikler her zaman izlenmeyen standart sistem araçlarının ve protokollerinin kullanılmasını içeren daha gizemli teknikler haline geliyor gibi görünüyor. Bu tür saldırılara en iyi örnek DNSMessenger.
DNSMessenger; tehlikeli bilgisayarlarda kötü amaçlı PowerShell komutlarını yapmak için DNS sorgularını kullanan yeni bir Uzaktan Erişim Truva Atı (RAT)’dır. RAT’yi hedeflenen sistemlerde tespit etmeyi zorlaştıran bir tekniktir.
Truva, Cisco’nun Talos tehdit araştırma grubunun dikkatine, Simpo adında bir güvenlik araştırmacısı tarafından geldi ve PowerShell komut dosyasında ‘SourceFireSux’ yazan bir cümleyi vurguladı. SourceFire, Cisco’nun kurumsal güvenlik ürünlerinden biridir.
Zararlı yazılımın daha fazla analizi sonucunda Talos araştırmacıları, kötü niyetli bir Word belgesini ve komut istemci sunucuları ile iletişim kuran bir PowerShell arka kapı içeren gelişmiş bir saldırıyı keşfetmişlerdir. Araştırmacılar Edmund Brumaghin ve Colin Grady tarafından Perşembe günü yayınlanan bir blog yazısına göre. Kötü niyetli Word belgesi “McAfee tarafından güvenli bir e-posta hizmeti ile ilişkilendirilmiş gibi hazırlanmış ” şekilde hazırlandı.
Sistem Nasıl Çalışıyor?
Belge açıldığında, belge, arka kapıyı hedef sisteme çalıştırmak için bağımsız bir PowerShell komut dosyası çalıştırmak için. Bir Visual Basic for Applications (VBA) makrosu başlatır. İlginç olan nedir? Bu noktaya kadar her şey, belleğe kaydedilir ve sistemin diskine herhangi bir kötü amaçlı dosya yazmaz. Daha sonra, VBA betiği, oturum açan kullanıcının ayrıcalıkları ve hedef sistemde kurulu olan PowerShell sürümü gibi hedef ortamın çeşitli parametrelerini kontrol etmeyi içeren, sıkıştırılmış ve sofistike bir ikinci aşamayı PowerShell’in paketinden çıkarır ve süreç başlar.
Bir e-posta kimlik avı kampanyası yoluyla dağıtılan DNSMessenger saldırısı , hedeflenen sisteme dosya yazmayı içermediğinden tamamen Fileless olur ; Bunun yerine, uzaktan DNS TXT kayıtları olarak depolanan kötü amaçlı PowerShell komutlarını almak için DNS TXT mesajlaşma yeteneklerini kullanır. Bu özellik, standart anti-malware savunmalarının görünmez olmasını sağlar.