Eu tenho escrito muito sobre Trojans de Acesso Remoto (RATs) ao longo dos últimos anos. Por isso, não pensei que houvesse tanta inovação neste clássico utilitário de software hacker. Os RATs, claro, permitem aos hackers obter acesso shell e emitir comandos para procurar conteúdo e depois copiar furtivamente ficheiros. No entanto, de alguma forma perdi, o DNSMessenger, uma nova variante do RAT que foi descoberta no início deste ano.
O malware corre quando a vítima clica num documento do Word incorporado num e-mail – está contido num script VBA que depois lança algum PowerShell. Nada tão invulgar até agora nesta abordagem de phishing..
Queres aprender o básico sobre o “ransomware” e ganhar um crédito CPE? Experimente o nosso curso gratuito.
Ultimamente, a maléfica carga útil da RAT é montada noutra fase de lançamento. O DNSMessenger RAT é em si mesmo um script PowerShell. A forma como o malware se desenrola é intencionalmente convoluto e ofuscado para dificultar a sua detecção. .
E o que faz este RAT baseado em PowerShell?
RAT Logic
Ninguém está a dizer que um RAT tem de ser tão complicado. O circuito de processamento principal aceita mensagens que dizem ao malware para executar comandos e enviar resultados.
O aspecto inteligente do DNSMessenger é que – surpresa, surpresa – utiliza o DNS como servidor C2 para consultar registos dos quais extrai os comandos.
É um pouco mais complicado do que o que estou a deixar passar, e se quiser, pode ler a análise original feita pelo grupo de segurança Talos da Cisco.
Stealthy RAT
Como observado pelos profissionais de segurança, o DNSMessenger é efectivamente “file-less” uma vez que não tem de guardar quaisquer comandos do servidor remoto para o sistema de ficheiros da vítima. Uma vez que utiliza o PowerShell, isto torna o DNSMessenger muito difícil de detectar quando está a funcionar. A utilização do PowerShell também significa que os scanners de vírus não assinalam automaticamente o malware.
Isto é directamente do livro de receitas de hacking sem malwares.
Torná-lo ainda mais mortal é a sua utilização do protocolo DNS, que não é um dos protocolos habituais em que a filtragem e monitorização da rede é realizada – como HTTP ou HTTPS.
Uma ponta do chapéu (preto) para os hackers por terem surgido com isto. Mas isso não significa que o DNSMessenger seja completamente indetectável. O malware tem de aceder ao sistema de ficheiros, uma vez que os comandos são enviados via DNS para pesquisar pastas e procurar conteúdo monetizável. A tecnologia UBA da Varonis detectaria anomalias na conta em que o DNSMessenger está a funcionar em.
Seria óptimo se fosse possível ligar a actividade invulgar de acesso a ficheiros à exfiltração DNS que está a ser feita pelo DNSMessenger. Então teríamos a prova dura de um incidente em curso.
Varonis Edge
Introduzimos recentemente o Varonis Edge, que foi especificamente concebido para procurar sinais de ataque no perímetro, incluindo VPNs, Web Security Gateways, e, sim, o DNS.
Como mencionei no meu último post, o hacking sem homens está em ascensão e devemos esperar ver mais em 2018.
Seria um bom exercício para experimentar e analisar um trojan ao estilo do DNSMessenger. Não o posso fazer este mês, mas estou a fazer como minha primeira resolução de Ano Novo a tentar experimentar em Janeiro no meu ambiente AWS.
Entretanto, tente uma demonstração de Varonis Edge para saber mais.
0 comentários