He escrito mucho sobre los troyanos de acceso remoto (RAT) en los últimos años. Así que no pensé que hubiera tanta innovación en esta clásica utilidad de software para hackers. Los RAT, por supuesto, permiten a los hackers obtener acceso al shell y emitir comandos para buscar contenido y luego copiar archivos de forma sigilosa. Sin embargo, de alguna manera me perdí, DNSMessenger, una nueva variante de RAT que fue descubierta a principios de este año.
El malware se ejecuta cuando la víctima hace clic en un documento de Word incrustado en un correo electrónico – está contenido en un script VBA que luego lanza algo de PowerShell. Nada tan inusual hasta ahora en este enfoque de phishing..
¿Quieres aprender los fundamentos del ransomware y ganar un crédito CPE? Prueba nuestro curso gratuito.
En última instancia, la malvada carga útil de la RAT se configura en otra etapa de lanzamiento. La RAT DNSMessenger es en sí misma un script de PowerShell. La forma en que el malware se desenvuelve es intencionadamente enrevesada y ofuscada para dificultar su detección.
¿Y qué hace esta RAT basada en PowerShell?
Lógica de la RAT
Nadie dice que una RAT tenga que ser tan complicada. El bucle de procesamiento principal acepta mensajes que indican al malware que ejecute comandos y envíe los resultados de vuelta.
El aspecto inteligente de DNSMessenger es que -sorpresa, sorpresa- utiliza el DNS como servidor C2 para consultar los registros de los que extrae los comandos.
Es un poco más complicado de lo que estoy dejando entrever, y si quieres, puedes leer el análisis original realizado por el grupo de seguridad Talos de Cisco.
Stealthy RAT
Como señalan los profesionales de la seguridad, DNSMessenger es efectivamente «sin archivos» ya que no tiene que guardar ningún comando del servidor remoto en el sistema de archivos de la víctima. Como utiliza PowerShell, esto hace que DNSMessenger sea muy difícil de detectar cuando se está ejecutando. El uso de PowerShell también significa que los escáneres de virus no marcarán automáticamente el malware.
Esto está sacado del libro de cocina de los hackers sin malware.
Lo que lo hace aún más mortal es su uso del protocolo DNS, que no es uno de los protocolos habituales en los que se realiza el filtrado y la monitorización de la red, como HTTP o HTTPS.
Una punta del sombrero (negro) a los hackers por idear esto. Pero eso no significa que DNSMessenger sea completamente indetectable. El malware tiene que acceder al sistema de archivos, ya que los comandos se envían a través de DNS para analizar las carpetas y buscar contenido monetizable. La tecnología UBA de Varonis podría detectar anomalías en la cuenta en la que se ejecuta DNSMessenger.
Sería estupendo si fuera posible conectar la actividad inusual de acceso a archivos con la exfiltración de DNS que realiza DNSMessenger. Entonces tendríamos una prueba contundente de un incidente en curso.
Varonis Edge
Recientemente hemos introducido Varonis Edge, que está específicamente diseñado para buscar signos de ataque en el perímetro, incluyendo VPNs, Web Security Gateways y, sí, DNS.
Como mencioné en mi último post, el hacking sin malware está en aumento y deberíamos esperar ver más de él en 2018.
Sería un buen ejercicio experimentar y analizar un troyano del estilo de DNSMessenger. No puedo hacerlo este mes, pero me propongo como primer propósito de año nuevo intentar experimentar en enero en mi entorno AWS.
Mientras tanto, prueba una demo de Varonis Edge para saber más.
0 comentarios