r   e   k   l   a   m   a
r   e   k   l   a   m   a

Bezplikowe malware w PowerShellu rozmawia po DNS i kryje się w Wordzie

Strona główna AktualnościBEZPIECZEŃSTWO

Koń trojański przeanalizowany ostatnio przez ekspertów z grupy Cisco Talos pokazuje, jak pomysłowe sztuczki wykorzystują twórcy malware, by uniknąć wykrycia. W tym wypadku mamy do czynienia ze szkodnikiem zmontowanym ze skryptów PowerShella, który komunikuje się z centralą przez DNS, a przenosi w „bezpiecznym” dokumencie Worda, sam jednak nigdy nie istniejąc w postaci pliku.

Szkodnik odkryty przez badacza simpo (@simpo13) został podesłany Cisco Talos ze względu na ciekawy fragment zakodowanego tekstu – „SourceFireSux”. Sourcefire to przejęty przez Cisco producent narzędzi do wykrywania zagrożeń w sieciach, którego założyciel znany jest jako twórca dobrze znanego Snorta.

Eksperci Talosa przyjrzeli się szkodnikowi dokładniej z innego jednak powodu: malware wyróżniało się innowacyjnym sposobem wykorzystania komunikacji za pomocą rekordów DNS, by uniknąć wykrycia przez oprogramowanie ochronne. Niezbędny do rozwiązywania nazw domen protokół jest bowiem traktowany znacznie bardziej pobłażliwie, nie jest prawie nigdy blokowany, nie dotyczą go ograniczenia dotyczące np. ruchu webowego. W tym wypadku przez DNS wysyłano polecenia jak i wyniki działania tych poleceń na wziętych na cel systemach.

Infekcja zaczyna się od rozsyłanego mailem dokumentu Worda. Nie jest to byle jaki dokument Worda, ale dokument „bezpieczny”. Pochodzić ma z bezpiecznej poczty, zabezpieczonej przez produkt firmy McAfee, po otwarciu dowiemy się, że też został przez McAfee zabezpieczony – to „Protected Document”. Niezłe zabezpieczenie – tarcza z literką „M” na pewno dobrze działa na wyobraźnię korporacyjnego odbiorcy… a na pewno wystarczająco, by odblokował jego zawartość.

To wystarczy do uruchomienia kolejnej funkcji VisualBasica, która przygotowuje polecenie PowerShella, wraz z kodem do uruchomienia. Warto podkreślić, że na żadnym etapie nie mamy tu do czynienia z zapisanym plikiem – zakodowany w Base64 i skompresowany gzipem ciąg przekazany zostaje do Powershella, z maleńkim loaderem na końcu, który ciąg rozpakowuje i odkodowuje, a następnie przekazuje do uruchomienia przez cmdlet Invoke-Expression. Dzięki temu większość silników antywirusowych w uzłośliwionym dokumencie niczego nie wykryła. Dały radę jedynie Avast, ClamAV, NOD32, Qihoo-360, Fortinet i Rising.

Kolejny etap infekcji to uruchomienie kolejnego skompresowanego i zakodowanego skryptu PowerShella, który sprawdza czy użytkownik ma uprawnienia administracyjne i która wersja PowerShella jest zainstalowana w systemie. Następnie wprowadzane są zmiany w Rejestrze. W trzecim etapie instalowany jest skrypt działający jako furtka w systemie. Jeśli użytkownik dysponuje uprawnieniami administracyjnymi, to furtkę dopisuje się do bazy Windows Management Instrumentation – dzięki temu może ona pozostać w systemie po restarcie.

W skrypcie tej furtki zapisane są setki różnych domen – i to właśnie one są odpytywane zapytaniami DNS. W rekordach TXT tych domen znajdują się zaś kolejne komendy PowerShella, które wykonywane są bez zapisywania ich na lokalnym pliku. Pozwala to napastnikom na precyzyjne zdalne kontrolowanie zainfekowanego systemu. Wyniki działania komend zostają od razu wysłane z powrotem na serwer dowodzenia.

Do czego faktycznie ten koń trojański miał służyć – tego nie wiadomo. Eksperci Cisco Talos nie zdołali przeniknąć do infrastruktury dowodzenia i kontroli wykorzystywanej w ataku, nigdy nie otrzymali z tamtych serwerów żadnych poleceń. Najprawdopodobniej polecenia takie są przekazywane tylko do zamierzonych celów.

Pewnie badaczom Cisco Talos nie chciałoby się pisać tak dokładnej analizy szkodnika, gdyby nie pewien aspekt marketingowy. Otóż w 2015 roku Cisco kupiło sobie firmę OpenDNS, rozwijającą usługę zabezpieczania ruchu sieciowego pod nazwą Umbrella. Od niedawna oferowana jest ona ponownie, pod nazwą Cisco Umbrella – i właśnie pozwala wykryć i ochronić przed taką właśnie komunikacją po normalnie nieblokowanym DNS-ie.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.