Ho scritto molto sui Remote Access Trojans (RAT) negli ultimi anni. Quindi non pensavo che ci fosse così tanta innovazione in questa classica utilità software da hacker. I RAT, naturalmente, permettono agli hacker di ottenere l’accesso alla shell e di emettere comandi per cercare contenuti e poi copiare furtivamente i file. Tuttavia, in qualche modo mi è sfuggito, DNSMessenger, una nuova variante RAT che è stata scoperta all’inizio di quest’anno.
Il malware viene eseguito quando la vittima fa clic su un documento Word incorporato in una e-mail – è contenuto in uno script VBA che poi lancia alcune PowerShell. Niente di così insolito finora in questo approccio di phishing..
Vuoi imparare le basi del ransomware e guadagnare un credito CPE? Prova il nostro corso gratuito.
In definitiva, il malvagio carico utile del RAT è impostato in un altro stadio di lancio. Il RAT DNSMessenger è esso stesso uno script PowerShell. Il modo in cui il malware si srotola è intenzionalmente contorto e offuscato per renderlo difficile da individuare.
E cosa fa questo RAT basato su PowerShell?
Logica del RAT
Nessuno dice che un RAT debba essere così complicato. Il ciclo di elaborazione principale accetta i messaggi che dicono al malware di eseguire i comandi e inviare i risultati.
L’aspetto intelligente di DNSMessenger è che – sorpresa, sorpresa – usa DNS come server C2 per interrogare i record da cui estrae i comandi.
È un po’ più complicato di quello che sto lasciando intendere, e se volete, potete leggere l’analisi originale fatta dal gruppo di sicurezza Talos di Cisco.
Stealthy RAT
Come notato dai professionisti della sicurezza, DNSMessenger è effettivamente “file-less” poiché non deve salvare alcun comando dal server remoto sul file system della vittima. Poiché utilizza PowerShell, questo rende DNSMessenger molto difficile da rilevare quando è in esecuzione. L’uso di PowerShell significa anche che gli scanner di virus non segnaleranno automaticamente il malware.
Questo è proprio fuori dal ricettario dell’hacking senza malware.
A renderlo ancora più letale è il suo uso del protocollo DNS, che non è uno dei soliti protocolli su cui viene eseguito il filtraggio e il monitoraggio della rete – come HTTP o HTTPS.
Una punta di cappello (nero) agli hacker per aver ideato questo. Ma questo non significa che DNSMessenger sia completamente inosservabile. Il malware deve accedere al file system, poiché i comandi vengono inviati tramite DNS per scansionare le cartelle e cercare contenuti monetizzabili. La tecnologia UBA di Varonis individuerebbe le anomalie sull’account su cui è in esecuzione DNSMessenger.
Sarebbe fantastico se fosse possibile collegare l’insolita attività di accesso ai file all’esfiltrazione DNS effettuata da DNSMessenger.
Varonis Edge
Abbiamo recentemente introdotto Varonis Edge, che è specificamente progettato per cercare segni di attacco al perimetro, tra cui VPN, Web Security Gateway e, sì, DNS.
Come ho menzionato nel mio ultimo post, l’hacking senza malware è in aumento e dovremmo aspettarci di vederne di più nel 2018.
Sarebbe un buon esercizio per sperimentare e analizzare un trojan stile DNSMessenger. Non posso farlo questo mese, ma sto facendo come prima risoluzione del nuovo anno di provare a sperimentare a gennaio sul mio ambiente AWS.
Nel frattempo, provate una demo di Varonis Edge per saperne di più.
0 commenti