示意圖,與新聞事件無關。

思科(Cisco)旗下的威脅情報部門Cisco Talos上周公布一新的無檔案遠端存取木馬(RAT)程式,它以PowerShell指令展開攻擊,並利用網域名稱服務(DNS)與駭客所掌控的C&C伺服器通訊。

該木馬是今年2月由安全研究人員Simpo透過Twittter揭露,由於Simpo發現惡意程式代碼中點名了思科的安全產品SourceFire,吸引Talos展開進一步的研究。

DNS為企業網路中最常見的網路應用協定之一,它提供域名解析服務,以讓使用者可經由網域名稱而非IP位址存取網站,儘管許多企業會過濾網路流量並制定防火牆政策,但對於DNS威脅的保護卻相對薄弱,而讓駭客有機可趁。

Talos分析了該木馬,顯示它利用針對DNS TXT文字記錄的查詢及回應來建立與C&C伺服器的雙向通道,於是駭客便能利用DNS通訊來提交新的指令,以於受感染的機器上執行,並將執行結果回報給C&C伺服器。

Powershell為一可自動執行任務與進行配置管理的介殼程式,駭客將惡意的Powershell嵌入Word文件中,當使用者開啟文件並啟用巨集後,該木馬即展開4個階段的感染行動,它會先修改註冊表並檢查Powershell版本,倘若受駭使用者具備管理權限,木馬便會把自己加入Windows Management Instrumentation(WMI)中,成為就算重開機都會繼續存在的常駐木馬。

之後,它會定期傳送DNS請求給代碼中內建的網域,取得該網域的DNS TXT記錄,該記錄內含了其他的Powershell指令,並會在受感染的電腦上直接執行,駭客唯一要做的是在這些網域的DNS TXT記錄中留下各種指令。危險的是,藉由DNS請求取得的Powershell指令從未被寫入本地系統,因此也無從偵測。

有鑑於此一木馬程式的設計是如此精細,Talos推測它只被用在少數的目標對象上,且迄今尚未確定其意圖,除非企業監控了DNS流量,否則這類的感染也許永遠不會被發現。


Advertisement

更多 iThome相關內容