Não é segredo que os cibercriminosos estão se tornando dramaticamente mais adeptos, inovadores e furtivos a cada dia que passa. Embora as novas formas de cibercrime estejam a aumentar, as atividades tradicionais parecem estar em constante mudança para técnicas mais clandestinas que envolvem a exploração de ferramentas e protocolos padrão de sistemas, que nem sempre são monitorados.
O último exemplo desse ataque é o DNSMessenger. Ele é m novo Trojan de Acesso Remoto (RAT) que usa consultas DNS para conduzir comandos maliciosos do PowerShell em computadores comprometidos. Essa técnica torna a RAT difícil de detectar em sistemas segmentados.
O cavalo de Tróia chamou a atenção do grupo de pesquisa de ameaças chamado Talos, da Cisco, através de um pesquisador de segurança chamado Simpo, que destacou um tweet que codificava texto em um script do PowerShell que dizia “SourceFireSux”. SourceFire é um dos produtos de segurança corporativos da Cisco.
Ataque DNSMessenger é completamente Fileless (sem arquivos)
Uma análise mais aprofundada do malware levou os pesquisadores do Talos a descobrir um ataque sofisticado que incluía um documento malicioso do Word e uma backdoor (porta de saida) do PowerShell que se comunicava com seus servidores de comando e controle via solicitações DNS.
Distribuído através de uma campanha de phishing de e-mail, o ataque DNSMessenger é completamente Fileless , uma vez que não envolve escrever arquivos para o sistema alvo; Em vez disso, ele usa os recursos de mensagens de DNS TXT para buscar comandos maliciosos do PowerShell armazenados remotamente como registros TXT de DNS.
Esse recurso torna invisível as defesas anti-malware padrão
PowerShell é uma poderosa linguagem de scripts construída no Windows que permite a automação das tarefas de administração do sistema.
O documento malicioso do Word foi criado “para aparecer como se estivesse associado a um serviço de e-mail seguro que é protegido pela McAfee”, de acordo com uma postagem no blog publicada pelos pesquisadores da Talos, Edmund Brumaghin e Colin Grady.
Como o ataque DNSMessenger funciona!
Quando aberto, o documento inicia uma macro Visual Basic for Applications (VBA) para executar um script PowerShell autônomo em uma tentativa para executar o backdoor para o sistema destino.
O que é interessante? Tudo, até este ponto, é feito na memória, sem gravar nenhum arquivo malicioso no disco do sistema.
Em seguida, o script VBA descompacta uma segunda etapa compactada e sofisticada do PowerShell, que envolve a verificação de vários parâmetros do ambiente de destino, como os privilégios do usuário conectado e a versão do PowerShell instalada no sistema de destino.
Essas informações são usadas para garantir a persistência no host infectado alterando o Registro do Windows e instalando um script PowerShell de terceiro estágio que contém um backdoor simples.
O backdoor está sendo adicionado ao banco de dados do Windows Management Instrumentation (WMI), se a vítima tiver acesso administrativo, permitindo que o backdoor de malware permaneça persistente no sistema mesmo após uma reinicialização.
O backdoor é um script adicional que estabelece um canal de comunicação bidirecional sofisticado sobre o DNS (Domain Name System) – geralmente usado para procurar os endereços IP associados aos nomes de domínio, mas tem suporte para diferentes tipos de registros.
O backdoor de malware DNSMessenger usa registros TXT de DNS que, por definição, permite que um servidor DNS anexe texto não formatado a uma resposta.
O backdoor envia periodicamente consultas DNS para uma de uma série de domínios codificados em seu código-fonte. Como parte dessas solicitações, ele recupera o registro DNS TXT do domínio, que contém mais comandos do PowerShell que são executados, mas nunca gravados no sistema local.
O que este script faz?
Agora, este script de “quarta fase” Powershell é a ferramenta de controle remoto usada pelo invasor de malware.
Este script consulta os servidores de comando e controle via solicitações de mensagens DNS TXT para perguntar quais comandos devem ser executados. Qualquer comando recebido é então executado e a saída é comunicada de volta para o servidor C & C, permitindo que o invasor execute qualquer Windows ou comandos de aplicativo no sistema infectado.
Todos os atacantes precisam fazer é deixar comandos maliciosos e instruções dentro dos registros TXT de seus domínios, Que, quando consultado, é executado através do Windows Command Line Processor, ea saída é enviada de volta como outra consulta DNS.
Os domínios registrados pelo DNSMessenger RAT são todos para baixo, por isso até agora, não se sabe que tipos de comandos os atacantes transmitidos para sistemas infectados. No entanto, os pesquisadores dizem que este RAT particular foi usado em um pequeno número de ataques direcionados.
O que explicam os pesquisadores?
“Essa amostra de malware é um excelente exemplo do tamanho que os atacantes estão dispostos a ficar sem ser detectados enquanto operam nos ambientes que eles estão alvejando”, disseram os pesquisadores da Talos.
“Também ilustra a importância de que, além de inspecionar e filtrar protocolos de rede como HTTP / HTTPS, SMTP/POP3, etc. O tráfego de DNS nas redes corporativas também deve ser considerado um canal que um invasor pode usar para implementar um protocolo totalmente funcional e bidirecional Infra-estrutura C2.
Esta não é a primeira vez quando os pesquisadores se depararam com um malware Fileless. No início do mês passado, pesquisadores da Kaspersky também descobriram malware sem arquivos, que reside apenas na memória dos computadores comprometidos, visando bancos, empresas de telecomunicações e organizações governamentais em 40 países.