De Talos-onderzoeksafdeling van Cisco heeft malware geanalyseerd die via dns communiceert. De zogenaamde Dnsmessenger-trojan kan zo PowerShell-scripts opvragen uit de txt-record om detectie te voorkomen. In de analyse schrijven de onderzoekers dat de trojan op deze manier communiceert met de c2-server van de aanvallers. 

 

De malware is opvallend, omdat deze variant vergaande stappen neemt om verborgen te blijven. De trojan wordt verspreid door middel van een geïnfecteerd Word-document, dat de indruk wekt beveiligd te zijn met software van McAfee. Het bestand kan bijvoorbeeld door een phishing-e-mail naar een bepaald doelwit worden gestuurd.

De malware werkt met PowerShell om een backdoor aan te brengen in het systeem van het slachtoffer. Om dat te bereiken, controleert de kwaadaardige software eerst of er beheerderstoegang is en welke versie van PowerShell op het systeem draait. In de volgende fase maakt de Dnsmessenger-trojan gebruik van een willekeurige voorgeprogrammeerde domeinnaam voor dns-verzoeken. Door middel van het ophalen van de txt-record is het voor de aanvallers mogelijk om de trojan van verschillende commando's te voorzien.

De in de txt-records opgenomen PowerShell-commando's laten de aanvaller op die manier Windows-functies op het geïnfecteerde systeem aansturen. Ook is het mogelijk de gegenereerde output van applicaties vervolgens weer terug te sturen via een dns-verzoek. Volgens de onderzoekers is een dergelijke aanval moeilijk te detecteren, omdat organisaties vaak geen filters gebruiken voor dns. Daardoor is deze techniek geschikt voor doelgerichte aanvallen.

Reacties mogelijk gemaakt door CComment