- 1、本文档共18页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
隐蔽通道和不良决策:DNSMessenger的故事-Cisco
2017 年3 月2 日,星期四
隐蔽通道和不良决策:DNSMessenger 的故事
作者:Edmund Brumaghin 和 Colin Grady
执行摘要
域名系统(DNS) 是公司网络中最常用的互联网应用协议之一。DNS 负责提供域名解析,以
便用户可以按域名访问网络资源,而不需要记住 IP 地址。虽然很多企业在Web 流量、防火
墙规则等方面实施严格的出口过滤,但对基于DNS 的威胁的控制措施却不那么严格。攻击者
也注意到了这点,因此经常将其他协议封装进DNS 协议中以躲避安全设备。
攻击者利用DNS 协议一般都是要窃取信息。Talos 团队最近分析了一种很有趣的恶意软件样
本。该样本利用DNS TXT 记录查询和响应创建双向命令和控制(C2) 通道,这样攻击者就可
以使用DNS 通信向受感染计算机提交新命令并在其上执行这些命令,然后将命令执行结果返
回给攻击者。这种方式在远程访问工具(RAT) 中相当罕见,而且隐蔽性较高。该恶意软件中
使用了多阶段Powershell 脚本,其中许多阶段是完全无文件的,这就说明攻击者为了避开检
测也是费尽了心思。
具有讽刺意义的是,在我们发布思科Umbrella (这是思科专门设计的一款安全产品,用于保
护组织免受DNS 和基于Web 的威胁,详见此处)之后不久,该恶意软件的制作者就在该恶意
软件的代码中向SourceFire 高调叫板。
详细信息
一开始吸引我们注意到该特定恶意软件样本的是一名安全研究员在Twitter 上发表的一篇推文
(特此感谢simpo !)。该推文提到他正在分析一段Powershell 脚本,其中包含base64 编
码的字符串“SourceFireSux”。有趣的是,Sourcefire 是这段Powershell 脚本中直接提及
的唯一安全供应商。我们搜索了这篇推文中提及的base64 编码值
“UwBvAHUAcgBjAGUARgBpAHIAZQBTAHUAeAA=”,结果发现有人在公共恶意软件分
析沙盒Hybrid Analysis 中上传了一个样本。另外,我们在搜索解码的字符串值时发现了一条
指向Pastebin 页面的搜索引擎结果。Pastebin 中列出的散列值引导我们找到了以个上传到
公共沙盒的一个恶意Word 文档。该Word 文件发起了与前文所述Hybrid Analysis 报告中的
文件相同的多阶段感染过程,让我们得以重构更完整的感染过程。我们通过分析我们的遥测
数据,最终找到了更多样本,本文的“危害表现”部分列出了这些样本。
作为安全供应商,我们知道,当恶意软件制作者在他们的恶意软件中叫板我们的产品时,就
说明我们是在做正确的事。理所当然,我们决定更深入分析一下这个特定样本。
在此特殊案例中,我们首先分析被错误地当做VBScript 文件提交至公共沙盒的Powershell
文件,我们称之为“第3 阶段”。结果发现之前提及的那个字符串被用作互斥体,可以在下
图1 中进行了反混淆处理的Powershell 中看出来。
图1:互斥体创建
第 1 阶段:恶意Word 文档
如前所述,我们发现了此感染链的来源,这是一个恶意的Microsoft Word 文档,通过网络钓
鱼邮件传送给了受害者。有趣的是,该Word 文档伪装成与受McAfee 保护的某项安全邮件
服务相关。因为McAfee 是一家著名的安全供应商,而且可能已经获得受害者的信任,所以
这么做可以有效地提高受害者打开该文档并启用宏的概率。该文档告知用户它是受保护的文
件,并指示用户启用其内容。
第2 阶段:恶意Word 文档
该文档使用Document_Open () 函数调用另一个VBA 函数。被调用的函数设置了一个长字符
串来定义一个Powershell 命令,而且其中包括将要执行的编码。然后攻击者利用Windows
管理接口(WMI) Win32_Process 对象,使用“Create”方法执行该命令。
通过命令行传递至Powershell 的代码大多数是Base64 编码的并且使用gzip 压缩,但是末
尾有一小部分没有编码,用于解压代码并将其传递至 Invoke-Expression Powershell cmdlet
(IEX) 进行执行。这样无需将代码写入受感染系统的文件系统,即可执行代码。总之,就我们
看到的广泛分发的恶意Word 文档而言,这种行为非常典型。我们注意到,虽然有一个VBA
流引用了Pastebin 的一个下载项,但是我们分
您可能关注的文档
- 气候多样季风显着1分析中国1月份平均气温图回答:1我国冬季.PDF
- 防止油罐三芯密封压板起翘的技术措施-油气储运.PDF
- 防火门电动闭门器说明书.PDF
- 防火宣导资料.PPT
- 气力扬升法应用于人工涌升流之研究II.PDF
- 气候变化与人类发展.PDF
- 防病抗衰:吃米饭四项原则(图).PDF
- 问一下自己.PPT
- 防空地下室建设设计通知书申请表.DOC
- 防弹材料-TeijinAramid.PDF
- 中国国家标准 GB/T 18233.4-2024信息技术 用户建筑群通用布缆 第4部分:住宅.pdf
- GB/T 18233.4-2024信息技术 用户建筑群通用布缆 第4部分:住宅.pdf
- GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计.pdf
- 《GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计》.pdf
- 中国国家标准 GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计.pdf
- GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置.pdf
- 《GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置》.pdf
- 中国国家标准 GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置.pdf
- GB/T 17889.4-2024梯子 第4部分:铰链梯.pdf
- 《GB/T 17889.4-2024梯子 第4部分:铰链梯》.pdf
文档评论(0)