最热win10资讯排行
- 1Microsoft Office用户现在可以选择他们发送给Microsoft的数据
- 2比360安全卫士好的软件你用了几款
- 3HP EliteBook 840 G7评测:最佳主流商务笔记本电脑
- 42019年4月XBOX更新win10 1904版本:所有新功能和更改
- 5联想ThinkPad T490评测:最受欢迎的ThinkPad获得了杜比视界屏幕
- 6AMD Radeon 19.4.3驱动程序以Mortal Kombat 11支持到达
- 7微软将通知用户当Windows 10版本达到支持结束
- 8win10 1909怎么样?win10 1909 新功能值得期待
- 9Windows 101809更新删除的功能你需要知道
- 10Microsoft发布Windows 10累积更新KB4480116,KB4480966,KB4480978
最新windows系统下载
新的Mozart恶意软件获取命令使用DNS隐藏通信
时间:2020-02-26 来源:系统堂 游览量: 次
新的Mozart恶意软件获取命令使用DNS隐藏通信
一种名为Mozart的新型后门恶意软件正在使用DNS协议与远程攻击者进行通信,以逃避安全软件和入侵检测系统的检测。
通常,当恶意软件打电话回家接收应执行的命令时,它将通过HTTP / S协议这样做,以简化使用和通信。
但是,使用HTTP / S通信进行通信有其缺点,因为安全软件通常会监视此流量中是否存在恶意活动。如果检测到,安全软件将阻止连接和执行HTTP / S请求的恶意软件。
在MalwareHunterTeam发现的新的Mozart后门中,该恶意软件使用DNS接收来自攻击者的指令并逃避检测。
使用DNS TXT记录发出命令
DNS是一种名称解析协议,用于将主机名(例如www.example.com)转换为其IP地址93.184.216.34,以便软件可以连接到远程计算机。
除了将主机名转换为IP地址之外,DNS协议还允许您查询包含文本数据的TXT记录。
此功能通常用于在线服务和电子邮件安全策略(例如,发件人策略框架或DMARC)的域所有权验证。
您也可以将它们用于愚蠢的小示范,例如“ hi.bleepingcomputer.com ” 的TXT记录。
莫扎特攻击者正在使用这些DNS TXT记录来存储由恶意软件检索并在受感染计算机上执行的命令。
莫扎特通过DNS播放不良音乐
据信,莫扎特恶意软件是通过网络钓鱼电子邮件分发的,该网络钓鱼电子邮件包含链接到位于https:// masikini [。] com / CarlitoRegular [。] zip的ZIP文件的PDF。
该zip文件包含一个JScript文件,该文件在执行时将提取base64编码的可执行文件,该文件另存为%Temp% calc.exe并执行。
据SentinelLabs Vitali Kremez负责人分析了此后门程序并与BleepingComputer分享了他的发现后,该恶意软件将首先检查文件%Temp% mozart.txt。
如果不存在,它将创建内容为“ 12345”的文件,并在计算机上执行一些准备工作。
这包括将calc.exe文件从%Temp%文件夹复制到%AppData% Microsoft Windows Start Menu Programs Startup 文件夹中的随机命名的可执行文件,以在受害者每次登录Windows时启动。
根据Kremez的说法,莫扎特恶意软件将在攻击者的控制下与硬编码DNS服务器进行通信,通信方式为93 [。] 188 [。] 155 [。] 2,并发出以下DNS请求以接收指令或配置数据:
加载程序获取机器人ID,并返回用于任务和进一步处理的Base64编码参数:
A.“ .getid”(.1)
机器人生成API序列如下:
GetCurrentHwProfileW-> GetUserNameW-> LookupAccountNameW-> ConvertSidToStringSidWB
。 “ .gettasks”(.1)
用“,”分隔符
C解析任务。“ .gettasksize”(.1)
分配任务和dnsquery_call
D的内存。“ .gettask”(.1)
解析特定任务
E.“。 reporttask“(.0 | .1)
通过CreateProcessW API
F运行任务。” .reportupdates“(.0 | .1)
通过WriteFile和MoveFilW在本地检索并检查更新,以将存储的检查作为” .txt“
H.“ .getupdates”(.0 | .1)
检查是否存在“ .txt”更新,并使用“ wb”标志写入更新,并在调用“ .gettasks”之后检查可执行扩展名(“ .exe”)。
例如,在BleepingComputer的测试中,我们被分配了ID“ 111”的漫游器,这使Mozart对111.1.getid,111.1.getupdates和111.1.gettasks进行DNS TXT查找。
在监控Mozart时,我们注意到该恶意软件将不断向攻击者的DNS服务器发出“ gettasks”查询,以查找要执行的命令。
如上所示,如果TXT记录响应为空,则意味着没有命令要执行,恶意软件将一遍又一遍地继续执行此检查,直到提供任务为止。
目前,尚不知道莫扎特正在执行什么命令,因为我自己进行的测试和Kremez并未导致对DNS查询的任何响应。
可能是因为我们没有进行足够长时间的测试,或者攻击者当前正在构建僵尸网络,然后才传输命令。
阻止此类威胁
重要的是要注意,使用DNS进行通信的恶意软件并非Mozart后门所独有。
2017年,思科Talos小组发现了一种名为DNSMessenger的恶意软件,该恶意软件也使用TXT记录进行恶意通信。
要阻止莫扎特,我们可以告诉您阻止对93 [。] 188 [。] 155 [。] 2的DNS请求,但是新的变体可以简单地切换到新的DNS服务器,直到我们对这个猫捉老鼠的游戏感到厌倦为止。
相反,务必要注意新颖的恶意通信方法,如果您的安全软件和入侵系统可以监视DNS TXT查询,则应启用它。
