MALWARE DNSMESSENGER

Fecha actualización el 2017-3-3. Fecha publicación el . Categoría: Seguridad. Autor: Mapa del sitio Fuente: bleepingcomputer

Malware DNSMessenger nuevo troyano de acceso remoto (RAT) que utiliza una técnica para evadir la detección de las redes corporativas

El malware, apodado DNSMessenger, se detectó por primera vez por un investigador de seguridad llamado Simpo.

El RAT llamo la atención del equipo de seguridad de Cisco Talos después de Simpo descubrió una cadena en base 64 que se tradujo de nuevo a "SourceFireSux," SourceFire es uno de los productos de seguridad corporativas de Cisco.

Esto no estaba a gusto de Cisco, y sus investigadores decidieron investigar más a fondo. Lo que encontraron fue un malware que se había avanzado más de lo que esperaban.

De acuerdo con un análisis técnico que rompió todas las características del malware, las infecciones comenzaron cuando las víctimas recibieron un documento de Word por correo electrónico.

Si las víctimas abren los archivos y activan el soporte de macros, una secuencia de comandos de VBA que descomprime una secuencia de comandos PowerShell autónomo.

Este script contiene instrucciones básicas para asegurar la persistencia en el host infectado mediante la modificación de las claves de registro, control de versiones PowerShell y otras operaciones.

Esta fue también la primera fase de un proceso de infección de cuatro etapas. Durante las siguientes etapas, el malware podría enviar consultas DNS a uno de varios dominios codificado en su código fuente

Las consultas de DNS obtienen el registro TXT de DNS del dominio. Estos pequeños fragmentos de texto que los registradores permiten a los propietarios de dominio añadir a su entrada DNS contenían comandos PowerShell codificado en base 64, que cargan más componentes del DNSMessenger en la memoria RAM de la víctima, sin dejar ningún rastro de código malicioso en el disco, donde la mayoría de los productos de seguridad puede explorar en busca de artefactos sospechosos.

Este código malicioso basado en memoria entonces permite al atacante interactuar con el ordenador de la víctima por la retransmisión de comandos shell del atacante y la lectura de su producción.

Obtienen los comandos que necesita para ejecutar el malware utilizarían otras consultas DNS a otra lista de dominios, un poco similar a la primera.

En este punto, todos los atacantes tenían que hacer salir los comandos y otras instrucciones dentro de los registros TXT de sus dominios. El malware sería una consulta de registro DNS TXT del dominio, obtener el comando, ejecutar a través del procesador de línea de comandos de Windows, y enviar la salida de nuevo como otra consulta DNS.

El alto nivel de sofisticación de este RAT particular, sugiere que se utilizó en un pequeño número de ataques dirigidos.

Cisco dice que debido a que el malware utiliza las consultas DNS para ocultar su actividad a menos que la empresa objetivo esten monitoreando el tráfico DNS, la infección nunca habría sido recogido.

En el pasado, el malware DNS tenía principalmente utilizado para exfiltrar datos robados de una red comprometida. Por ejemplo, el software malicioso MULTIGRANOS POS codifica datos de la tarjeta de crédito y los esconde en el interior de las solicitudes de DNS, que se hizo a sus propios servidores DNS, y al hacerlo, se registran todos los datos robados.


Comenta y comparte en Compartir en Google+
Malware DNSMessenger