研究：PowerShell木馬讓DNS查詢淪為駭客聯繫管道

思科（Cisco）旗下的威脅情報部門Cisco Talos上周公布一新的無檔案遠端存取木馬（RAT）程式，它以PowerShell指令展開攻擊，並利用網域名稱服務（DNS）與駭客所掌控的C&C伺服器通訊。

該木馬是今年2月由安全研究人員Simpo透過Twittter揭露，由於Simpo發現惡意程式代碼中點名了思科的安全產品SourceFire，吸引Talos展開進一步的研究。

DNS為企業網路中最常見的網路應用協定之一，它提供域名解析服務，以讓使用者可經由網域名稱而非IP位址存取網站，儘管許多企業會過濾網路流量並制定防火牆政策，但對於DNS威脅的保護卻相對薄弱，而讓駭客有機可趁。

Talos分析了該木馬，顯示它利用針對DNS TXT文字記錄的查詢及回應來建立與C&C伺服器的雙向通道，於是駭客便能利用DNS通訊來提交新的指令，以於受感染的機器上執行，並將執行結果回報給C&C伺服器。

Powershell為一可自動執行任務與進行配置管理的介殼程式，駭客將惡意的Powershell嵌入Word文件中，當使用者開啟文件並啟用巨集後，該木馬即展開4個階段的感染行動，它會先修改註冊表並檢查Powershell版本，倘若受駭使用者具備管理權限，木馬便會把自己加入Windows Management Instrumentation（WMI）中，成為就算重開機都會繼續存在的常駐木馬。

之後，它會定期傳送DNS請求給代碼中內建的網域，取得該網域的DNS TXT記錄，該記錄內含了其他的Powershell指令，並會在受感染的電腦上直接執行，駭客唯一要做的是在這些網域的DNS TXT記錄中留下各種指令。危險的是，藉由DNS請求取得的Powershell指令從未被寫入本地系統，因此也無從偵測。

有鑑於此一木馬程式的設計是如此精細，Talos推測它只被用在少數的目標對象上，且迄今尚未確定其意圖，除非企業監控了DNS流量，否則這類的感染也許永遠不會被發現。