مخفیسازی ارتباطات بدافزار، در بستر DNS
به گزارش شرکت مهندسی شبکه گستر، محققان بخش Talos شرکت Cisco از انتشار بدافزاری خبر دادهاند که در روشی جدید در بستر پودمان DNS با سرور فرماندهی خود ارتباط برقرار میکند.
این بدافزار که این محققان آن را DNSMessenger نامگذاری کردهاند از طریق هرزنامهها (Spam) سیستمها را هدف قرار میدهد. پیوست این هرزنامهها، فایلی Word است که با باز شدن آن، تصویری مشابه شکل زیر ظاهر میشود.
هدف از درج نشان McAfee و نوشتههای نمایش داده شده، القای امن بودن فایل و تشویق کاربر به کلیک بر روی دگمه Enable Content است. با این کار قابلیت Macro در نرمافزار Office فعال شده و اسکریپت مخرب جاسازی شده در دورن فایل از طریق پروسه مجاز PowerShell اجرا میشود.
PowerShell، بستری مبتنی بر Net Framework. برای خودکارسازی فرامین و مدیریت پیکربندی است. این بستر شامل یک پوسته خط فرمان و یک زبان اسکریپتنویسی است.
در ادامه بدافزار اقدام به بررسی سطح دسترسی کاربر و نسخه PowerShell نصب شده بر روی دستگاه میکند. بسته به نتایج حاصل شده، یک اسکریپت PowerShell در بخش Alternate Data Stream یا در محضرخانه (Registry) سیستم عامل ذخیره میشود. دادههای ذخیره شده در Alternate Data Stream بسادگی توسط کاربر قابل شناسایی و روئیت نیستند.
پس از آن ارتباطی دو طرفه بین بدافزار و سرور فرماندهی (Command and Control) بر روی پودمان DNS برقرار میشود.
کاربرد اصلی پودمان DNS تبدیل نام دامنه به نشانی IP متناظر با آن است. سرورهای DNS از انواع مختلفی از رکوردها پشتیبانی میکنند. یکی از این رکوردها، DNS TXT است که در آن میتوان توضیحاتی را بهصورت متن ساده درج کرد.
ارتباطات بین بدافزار DNSMessenger با سرور فرماندهی نیز همگی در قالب پرسوجوهای DNS TXT انجام میشود.
در این ارتباطات نویسندگان فرامین را به بدافزار ارسال و خروجی را از آن دریافت میکنند.
معمولاً سازمانها کنترلهای سختگیرانهای را بر روی پودمانهای HTTP و HTTPS اعمال میکنند اما در خصوص ارتباطات DNS حساسیت کمتری وجود دارد. به نظر میرسد هدف این مهاجمان نیز مخفی کردن حضور خود با بهرهگیری از این موضوع بوده باشد.