Нестандартный RAT-троянец, получивший наименование DNSMessenger, использует DNS-запросы для исполнения команд PowerShell на зараженном компьютере. По свидетельству Cisco, это сильно затрудняет его обнаружение в системе.

Как показал анализ, проведенный экспертами подразделения Talos компании, процесс заражения начинается с активации макроса по подсказке в документе Word, присланном по почте вложением. Если получатель последует этой инструкции, последует вызов VBA-функции, обеспечивающей исполнение первичной PowerShell-команды.

«Документ использует функцию Document_Open() для вызова другой VBA-функции, — рассказывают исследователи. — Вызванная функция задает длинную строку, которая определяет команду PowerShell и включает код, подлежащий исполнению. Затем происходит выполнение команды с помощью объекта Win32_Process интерфейса управления Windows (WMI), использующего метод Create».

После этого следует многоэтапная атака, в ходе которой определяются привилегии текущего пользователя, версия PowerShell, привносятся изменения в системный реестр Windows и открывается бэкдор для сохранения присутствия в системе.

Типовая цепочка заражения предполагает запись файлов в целевую систему; в данном случае вместо этого используется обращение к записям TXT удаленной DNS-системы, в которых содержатся вредоносные PowerShell-команды. Запросы DNS TXT и ответные сообщения создают канал двусторонней C&C-связи. Такая тактика «позволяет исполнять код, не требуя его записи в файловую систему» на атакуемой машине.

В ходе тестирования сэмпла был выявлен ряд VBA-скриптов, используемых злоумышленниками; каждый VBA распаковывал свой скрипт PowerShell. На всех этапах заражения происходила отправка DNS-запросов в один из многочисленных доменов, прописанных в коде скрипта.

«Это очень необычный и скрытный способ администрирования RAT, — отмечено в блог-записи Talos. — Исполнение PowerShell во много этапов, не оставляющих никаких файлов, указывает на то, что автор атаки приложил значительные усилия, чтобы избежать обнаружения».

«Он [DNSMessenger] также показал, насколько важно не только контролировать и фильтровать сетевые протоколы вроде HTTP/HTTPS, SMTP/POP3 и проч., но и рассматривать DNS-трафик в корпоративной сети как канал, который злоумышленник может использовать для реализации полноценной, работающей в обе стороны C&C-инфраструктуры», — заключают исследователи.

«Это была, по всей видимости, целевая атака, с небольшим охватом в сравнении с другими кампаниями, которые мы регулярно наблюдаем, — заявил соавтор записи в блоге Talos Эдмунд Брумагин (Edmund Brumaghin), отметив, что намерения зловреда пока не ясны. — Нам не удалось зафиксировать отправку с C&C команд, подлежащих исполнению. Это типично для целевых атак, так как злоумышленники обычно посылают команды лишь намеченным жертвам».

Авторы блог-записи выражают благодарность ИБ-исследователю @simpo13 за твит, привлекший общее внимание к данному RAT-троянцу. Примечательно, что в коде одного из PowerShell-скриптов, используемых злоумышленниками, автор твита обнаружил зашифрованную по base64 строку SourceFireSux — явную ссылку на ИБ-вендора SourceFire, поглощенного Cisco в 2013 году.

Категории: Аналитика, Вредоносные программы