İnternetin en büyük tehlikesi olarak adlandırılan DNSMessenger zararlısının etkileri büyümeye devam ediyor. DNSmessenger hakkındaki detaylar sizin için hazırladığımız haberimizde.
Cisco Talos ekibi yakın zamanda ortaya çıkan ve spam email ekinde yayılan bir zararlı yazılım için analizler gerçekleştirdi. Microsoft Word dökümanı içerisinden sisteme sızan zararlı yazılım gerçekleştirdiği ataklarda Powershell scriptlerini kullanıyor ve komuta kontrol merkezi ile DNS ( Domain Name System ) kullanarak haberleşiyor.
Kurumsal networkler içerisinde DNS sorgularının engellenmiyor olması zararlı yazılım için büyük bir fırsat ve bu durumdan dolayı iletişimi DNS üzerinden yürütüyor. DNSmessenger ismi verilen zararlı ilk açıldığında McAfee SECURE tarafından güvenli olarak tanımlandığını belirtiyor ve kullanıcının içeriği aktifleştirmesi için bir sorun olmadığı hissi veriyor.
İçerik aktifleştirildiğinde zararlı birden çok aktivite başlatarak sisteme bulaşıyor ve Powershell scriptleri ile gerçekleştireceği operasyonları yürütüyor. Önce sistemde analizler gerçekleştiriyor ve sonrasında kalıcılığı sağlamak için gerekli bilgileri topluyor. Daha sonra zararlı, içerisine yerleştirilmiş hard-coded bir domaine DNS taleplerinde bulunarak veri sızdırmaya başlıyor.
Siber güvenlik uzmanları bu tekniğin uzun zamandır kullanıldığını fakat gerekli önlemlerin alınmadığını belirtiyor. Infoblox DNS ile bu saldırıların engellendiği bildiriliyor.
