隐蔽通道和不良决策：DNSMessenger的故事-Cisco.PDF

2017 年3 月2 日，星期四 隐蔽通道和不良决策：DNSMessenger 的故事 作者：Edmund Brumaghin 和 Colin Grady 执行摘要 域名系统(DNS) 是公司网络中最常用的互联网应用协议之一。DNS 负责提供域名解析，以 便用户可以按域名访问网络资源，而不需要记住 IP 地址。虽然很多企业在Web 流量、防火 墙规则等方面实施严格的出口过滤，但对基于DNS 的威胁的控制措施却不那么严格。攻击者 也注意到了这点，因此经常将其他协议封装进DNS 协议中以躲避安全设备。 攻击者利用DNS 协议一般都是要窃取信息。Talos 团队最近分析了一种很有趣的恶意软件样 本。该样本利用DNS TXT 记录查询和响应创建双向命令和控制(C2) 通道，这样攻击者就可 以使用DNS 通信向受感染计算机提交新命令并在其上执行这些命令，然后将命令执行结果返 回给攻击者。这种方式在远程访问工具(RAT) 中相当罕见，而且隐蔽性较高。该恶意软件中 使用了多阶段Powershell 脚本，其中许多阶段是完全无文件的，这就说明攻击者为了避开检 测也是费尽了心思。 具有讽刺意义的是，在我们发布思科Umbrella （这是思科专门设计的一款安全产品，用于保 护组织免受DNS 和基于Web 的威胁，详见此处）之后不久，该恶意软件的制作者就在该恶意 软件的代码中向SourceFire 高调叫板。 详细信息 一开始吸引我们注意到该特定恶意软件样本的是一名安全研究员在Twitter 上发表的一篇推文 （特此感谢simpo ！）。该推文提到他正在分析一段Powershell 脚本，其中包含base64 编 码的字符串“SourceFireSux”。有趣的是，Sourcefire 是这段Powershell 脚本中直接提及 的唯一安全供应商。我们搜索了这篇推文中提及的base64 编码值 “UwBvAHUAcgBjAGUARgBpAHIAZQBTAHUAeAA=”，结果发现有人在公共恶意软件分 析沙盒Hybrid Analysis 中上传了一个样本。另外，我们在搜索解码的字符串值时发现了一条 指向Pastebin 页面的搜索引擎结果。Pastebin 中列出的散列值引导我们找到了以个上传到 公共沙盒的一个恶意Word 文档。该Word 文件发起了与前文所述Hybrid Analysis 报告中的 文件相同的多阶段感染过程，让我们得以重构更完整的感染过程。我们通过分析我们的遥测 数据，最终找到了更多样本，本文的“危害表现”部分列出了这些样本。 作为安全供应商，我们知道，当恶意软件制作者在他们的恶意软件中叫板我们的产品时，就 说明我们是在做正确的事。理所当然，我们决定更深入分析一下这个特定样本。 在此特殊案例中，我们首先分析被错误地当做VBScript 文件提交至公共沙盒的Powershell 文件，我们称之为“第3 阶段”。结果发现之前提及的那个字符串被用作互斥体，可以在下 图1 中进行了反混淆处理的Powershell 中看出来。 图1：互斥体创建 第 1 阶段：恶意Word 文档 如前所述，我们发现了此感染链的来源，这是一个恶意的Microsoft Word 文档，通过网络钓 鱼邮件传送给了受害者。有趣的是，该Word 文档伪装成与受McAfee 保护的某项安全邮件 服务相关。因为McAfee 是一家著名的安全供应商，而且可能已经获得受害者的信任，所以 这么做可以有效地提高受害者打开该文档并启用宏的概率。该文档告知用户它是受保护的文 件，并指示用户启用其内容。 第2 阶段：恶意Word 文档 该文档使用Document_Open () 函数调用另一个VBA 函数。被调用的函数设置了一个长字符 串来定义一个Powershell 命令，而且其中包括将要执行的编码。然后攻击者利用Windows 管理接口(WMI) Win32_Process 对象，使用“Create”方法执行该命令。 通过命令行传递至Powershell 的代码大多数是Base64 编码的并且使用gzip 压缩，但是末 尾有一小部分没有编码，用于解压代码并将其传递至 Invoke-Expression Powershell cmdlet (IEX) 进行执行。这样无需将代码写入受感染系统的文件系统，即可执行代码。总之，就我们 看到的广泛分发的恶意Word 文档而言，这种行为非常典型。我们注意到，虽然有一个VBA 流引用了Pastebin 的一个下载项，但是我们分