新的无文件恶意软件使用DNS查询来接收PowerShell命令

虽然新形式的网络犯罪正在上升，但传统活动似乎正在转向更秘密的技术，涉及利用标准系统工具和协议，而这些工具和协议并不总是受到监控。

这种攻击的最新例子是德斯梅辛格– 一种新的远程访问特洛伊木马（RAT），使用DNS查询在受损计算机上执行恶意PowerShell命令；一种使老鼠难以在目标系统上被检测到的技术。
该特洛伊木马引起了思科Talos威胁研究小组的注意，一位名叫Simpo的安全研究人员强调了一条推文，该推文用PowerShell脚本对文本进行了编码，上面写着“SourceFireSux”SourceFire是思科的企业安全产品之一。

DNSMessenger攻击完全没有文件

对恶意软件的进一步分析最终导致Talos研究人员发现了一种复杂的攻击，包括一个恶意Word文档和一个通过DNS请求与其命令和控制服务器通信的PowerShell后门。

DNSMessenger攻击通过电子邮件钓鱼活动传播，完全没有文件，因为它不涉及向目标系统写入文件；相反，它使用DNS TXT消息功能获取远程存储为DNS TXT记录的恶意PowerShell命令。

此功能使其对标准反恶意软件防御不可见。

PowerShell是一种内置于Windows中的强大脚本语言，允许系统管理任务的自动化。

据塔洛斯研究人员埃德蒙·布鲁马金（Edmund Brumaghin）和科林·格雷迪（Colin Grady）周四发表的一篇博文称，该恶意Word文档被精心设计成“似乎与McAfee保护的安全电子邮件服务有关”。

以下是DNSMessenger攻击的工作原理：

打开时，文档将启动Visual Basic for Applications（VBA）宏，以执行自包含的PowerShell脚本，尝试在目标系统上运行后门。

有什么有趣的？到目前为止，所有操作都是在内存中完成的，不会将任何恶意文件写入系统磁盘。

接下来，VBA脚本将解压PowerShell的一个经过压缩且复杂的第二阶段，其中包括检查目标环境的几个参数，如登录用户的权限和目标系统上安装的PowerShell版本。

然后，通过更改Windows注册表并安装包含简单后门的第三阶段PowerShell脚本，使用此信息确保受感染主机上的持久性。

如果受害者确实具有管理权限，则正在将后门添加到Windows Management Instrumentation（WMI）数据库中，从而允许恶意软件后门在系统上保持持久性，即使在重新启动后也是如此。

后门是一个额外的脚本，通过域名系统（DNS）和#8211建立复杂的双向通信通道；通常用于查找与域名关联的IP地址，但支持不同类型的记录。

DNSMessenger恶意软件后门使用DNS TXT记录，根据定义，该记录允许DNS服务器将未格式化文本附加到响应。

后门会定期向其源代码中硬编码的一系列域之一发送DNS查询。作为这些请求的一部分，它会检索域的DNS TXT记录，其中包含更多已执行但从未写入本地系统的PowerShell命令。

现在，这个“第四阶段”Powershell脚本是恶意软件攻击者实际使用的远程控制工具。

此脚本通过DNS TXT消息请求查询命令和控制服务器，询问要执行的命令。然后执行接收到的任何命令，并将输出传回CC服务器，允许攻击者在受感染的系统上执行任何Windows或应用程序命令。

攻击者需要做的就是将恶意命令和指令留在其域的TXT记录中，当被查询时，会通过Windows命令行处理器执行，并将输出作为另一个DNS查询发送回。

DNSMessenger RAT注册的域都已关闭，因此到目前为止，尚不清楚攻击者向受感染的系统转发了哪些类型的命令。然而，研究人员说，这种特殊的老鼠被用于少数有针对性的攻击。

塔洛斯的研究人员说：“这个恶意软件样本是一个很好的例子，说明攻击者在其目标环境中进行操作时，愿意保持不被发现的长度”。

“它还说明，除了检查和过滤HTTP/HTTPS、SMTP/POP3等网络协议外，企业网络中的DNS流量还应被视为攻击者可以用来实现功能齐全的双向C2基础设施的通道”。

这不是研究人员第一次发现无文件恶意软件。上个月初，卡巴斯基研究人员还发现了无文件恶意软件，该软件仅存在于受损计算机的内存中，目标是40个国家的银行、电信公司和政府机构。