Злоумышленники используют DNS-через-HTTPS от Google для загрузки вредоносных программ
Хакеры, которые маскируют вредоносные программы в поддельных журналах ошибок Windows, теперь научились использовать для этого DNS-через-HTTPS от Google. После получения доступа к системе Windows ПО считывается с файла .chk, который выдает себя за журналы событий.
Кажущиеся шестнадцатеричными символы справа на самом деле являются десятичными символами, используемыми для построения закодированной полезной нагрузки.
Исследователи из Huntress Labs заметили подозрительный URL-адрес в коде PowerShell: dns.google.com/resolve? name=dmarc.jqueryupdatejs.com&type=txt
Домен jqueryupdatejs.com привлек внимание Джона Хэммонда, старшего исследователя безопасности. При использовании DNS-через-HTTPS от Google для его разрешения в ответе содержится полезная нагрузка вредоносного ПО в закодированной форме.
Фото: www.bleepingcomputer.com
Хаммонд отметил: «Этот метод запроса DNS-записей через HTTPS не является чем-то новым, но он очень умный. Часто DNS-фильтрация применяется в корпоративной сети, чтобы блокировать доступ к вредоносным сайтам…, но блокирование веб-трафика для google.com, по защищенному HTTPS-соединению? Это неслыханно».
По словам исследователя, DoH становится более жизнеспособным вариантом для проведения атак, поскольку хакеры могут использовать внешний сервер и даже динамическую запись DNS, чтобы контролировать свою атаку.
На первый взгляд значение поля «данные», возвращаемое DNS-запросом Google, может выглядеть как подпись DKIM. Это значение похоже на строку в кодировке base64, но попытка декодировать всю строку приводит к получению бессмысленных данных. Это происходит потому, что символ » /» служит разделителем (очень похожим на пробел) и не является частью полезной нагрузки.
При декодировании каждого значения, разделенного » /» Хаммонд снова получил различные значения base64. Повторная расшифровка этих данных дала большие числа:
1484238688
1484238687
238837
2388371974
2388372143
Это десятичные представления допустимых IP-адресов. Например, если ввести 1484238687/ в адресной строке веб-браузера, то получится следующее: 88.119.175.95 (но делать так не рекомендуется).
Исходная полезная нагрузка атакующих будет выбирать любой из этих IP-адресов случайным образом, чтобы загрузить полезную нагрузку следующего этапа.
Таким образом, безобидный на вид поисковый запрос DNS обеспечил злоумышленникам гибкость и динамику в управлении инфраструктурой командования. Они могут изменить список IP-адресов серверов C&C по своему желанию, просто обновив ответы DNS.
В дополнение ко всем методам запутывания вредоносная программа переименовывает некоторые из своих исполняемых файлов в законные активные процессы Windows, чтобы избежать обнаружения.
Хаммонд пояснил: «Использование этих собственных двоичных файлов гарантирует, что выполнение программ разрешено, а маскировка полезных нагрузок помогает ПО избегать любого обнаружения. Типичные антивирусные продукты вне оболочки могут упустить процесс».
Данное ПО было обнаружено вручную. Детальные выводы опубликованы в блоге Huntress Labs.
См. также:
