مخفی‌سازی ارتباطات بدافزار، در بستر DNS

به گزارش شرکت مهندسی شبکه گستر، محققان بخش Talos شرکت Cisco از انتشار بدافزاری خبر داده‌اند که در روشی جدید در بستر پودمان DNS با سرور فرماندهی خود ارتباط برقرار می‌کند.

این بدافزار که این محققان آن را DNSMessenger نامگذاری کرده‌اند از طریق هرزنامه‌ها (Spam) سیستم‌ها را هدف قرار می‌دهد. پیوست این هرزنامه‌ها، فایلی Word است که با باز شدن آن، تصویری مشابه شکل زیر ظاهر می‌شود.

هدف از درج نشان McAfee و نوشته‌های نمایش داده شده، القای امن بودن فایل و تشویق کاربر به کلیک بر روی دگمه Enable Content است. با این کار قابلیت Macro در نرم‌افزار Office فعال شده و اسکریپت مخرب جاسازی شده در دورن فایل از طریق پروسه مجاز PowerShell اجرا می‌شود.

PowerShell‌، بستری مبتنی بر Net Framework. برای خودکارسازی فرامین و مدیریت پیکربندی است. این بستر شامل یک پوسته خط فرمان و یک زبان اسکریپت‌نویسی است.

در ادامه بدافزار اقدام به بررسی سطح دسترسی کاربر و نسخه PowerShell نصب شده بر روی دستگاه می‌کند. بسته به نتایج حاصل شده، یک اسکریپت PowerShell در بخش Alternate Data Stream یا در محضرخانه (Registry) سیستم عامل ذخیره می‌شود. داده‌های ذخیره شده در Alternate Data Stream بسادگی توسط کاربر قابل شناسایی و روئیت نیستند.

پس از آن ارتباطی دو طرفه بین بدافزار و سرور فرماندهی (Command and Control) بر روی پودمان DNS برقرار می‌شود.

کاربرد اصلی پودمان DNS تبدیل نام دامنه به نشانی IP متناظر با آن است. سرورهای DNS از انواع مختلفی از رکوردها پشتیبانی می‌کنند. یکی از این رکوردها، DNS TXT است که در آن می‌توان توضیحاتی را به‌صورت متن ساده درج کرد.

ارتباطات بین بدافزار DNSMessenger با سرور فرماندهی نیز همگی در قالب پرس‌وجوهای DNS TXT انجام می‌شود.

در این ارتباطات نویسندگان فرامین را به بدافزار ارسال و خروجی را از آن دریافت می‌کنند.

معمولاً سازمان‌ها کنترل‌های سخت‌گیرانه‌ای را بر روی پودمان‌های HTTP و HTTPS اعمال می‌کنند اما در خصوص ارتباطات DNS حساسیت کمتری وجود دارد. به نظر می‌رسد هدف این مهاجمان نیز مخفی کردن حضور خود با بهره‌گیری از این موضوع بوده باشد.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *