DNSpionage

DNSpionage

گروه امنیتی Talos بیان کرد که ابزار های حملات DNSpionage بروزرسانی شدند تا هوشمند تر و نهفته تر باشند

گروهی در پشت حملات DNS(Domain Name System) قرار دارند که با نام DNSpionage شناخته می شوند و حملات خود را بوسیله ابزار های جدید توسعه داده اند تا خود را بهتر از قبل پنهان نگه دارند.محققان امنیتی Talos که DNSpionage را در ماه نوامبر کشف کردند، این هفته در مورد قابلیت های جدید و حملات هوشمندانه تری هشدار داده اند.

Talos بیان کرد که:” توسعه مستمر مهاجمان بدافزار DNSpionage نشان دهنده این است که مهاجمان همواره به دنبال راه های جدیدی برای جلوگیری از شناسایی می باشند. تونل زنی DNS یک متد بسیار محبوب برای حملات مخفی برخی از مهاجمان این حمله می باشد . برخی از مثال های DNSpionage نشان  داده است که باید اطمینان حاصل کنیم که DNS به اندازه پروکسی ها و وبلاگ های سازمان ها نظارت و بررسی می شود.”

در گزارش های اولیه Talos، محققان بیان کردند که کمپین DNSpionage تجارت های مختلفی در خاورمیانه و همچنین ایلات متحده عربی را هدف قرار داده اند.همچنین از دو وب سایت مخرب استفاده می کنند  و به سیستم قربانیان بوسیله اسناد مایکروسافت که در آن مایکروهایی را جاسازی کرده، لطمه می زند.این هفته سیسکو بیان کرد که مهاجمان DNSpionage ابزار های ریموت مدیریتی جدیدی را ایجاد کرده اند که از ارتباطات HTTP و  DNS همراه با خط فرمان و کنترل های مهاجم پشتیبانی می کند.

Talos بیان کرد که :”در پست قبلی نشان دادیم که نویسندگان بد افزار از ماکرو های مخرب جاسازی شده در یکی از اسناد مایکروسافت ورد استفاده کرده اند.در نمونه جدید که در انتهای ماه فوریه کشف و شناسایی شد مهاجم از یک سند اکسل با یک ماکرو مشابه استفاده کرد.”

” این بد افزار از ارتباطات HTTP و  DNS در سرور C2 پشتیبانی می کند.ارتباطات HTTP در کامنت های کد HTML پنهان است. در حالی که ارتباطات DNS متد های مشابهی را دنبال می کند که در مقاله قبلی بیان کردیم،توسه دهندگان در آخرین نسخه چند ویژگی جدید را اضافه کرده که مهاجم حالت Debug را حذف کرده است.”

Talos افزود که دامنه مورد استفاده برای C2 “bizarre” است.

” ورژن قبلی DNSpionage برای استفاده از دامنه های legitimated-looking تلاش فراوانی کرد تا شناخته نشود.اگرچه ورژن جدیدتر از دامنه “coldfart[.]com”  استفاده می کند و در مقایسه با سایر کمپین های APT آسان تر است که به طور کلی سعی می کنند با ترافیک بیشتر متناسب با محیط کسب و کار ترکیب شود.”

محققان Talos بیان کردند که DNSpionage یک مرحله شناسایی را اضافه کرده است،که تضمین می کند payload به جای اینکه بی هدف بر روی تمام ماشین ها دانلود شوند، بر روی سیستمی که هدف قرار داده اند، پیاده می شود.Talos بیان کرد که این سطح از حملات، اطلاعات مربوط به ایستگاه کاری ازجمله اطلاعات خاص پلتفرم،نام دامنه و کامپیوتر و اطلاعات مربوط به سیستم عامل را نیز بدست می آورد.این اطلاعات کلیدی در اتنخاب قربانی ها و جلوگیری از شناسایی توسط محققان و Sandbox به بدافزار کمک میکند.

Talos اظهار داشت : ” علاوه بر افزایش گزارشات مبنی بر فعالیت این تهدیدات،ما شواهد جدیدی را کشف کرده ایم که افراد فعال در کمپین DNSpionage برای بهبود اثربخشی عملیاتشان،همچنان تاکتیک ها و روش های خود را تغییر می دهند.”

در ماه آپریل Talos بد افزار نا مشروع توسعه یافته ای را در .NET شناسایی کردند.در نمونه های تحلیل شده،نویسنده های بد افزار دو نام مختلف را در متنی ساده به اشتراک گذاشتند : ” DropperBackdoor ” و ” Karkoff “.

همچنین در یکی از پست ها بیان کرد که ” بد افزار به دلیل اندازه کوچکی که دارد نسبت به سایر بد افزار ها سبک تر است به این دلیل امکان اجرای کد از سرور C2 را فراهم می کند.هیچ مشکلی وجود ندارد و کد را می توان به راحتی از هم جدا کرد.”

DNSpionage,KarKoff

بد افزار Karkoff به دنبال دو پلتفرم خاص آنتی ویروس Avira   وAvast  است و در این زمینه تلاش می کند.

کشف KarKoff نشان داد که مهاجمان همواره در حال تلاش برای جلوگیری از تشخیص و شناسایی هستند و همچنین بر روی منطقه خاورمیانه تمرکز فراوانی دارند.

Talosدر متد دیگری از حملات DNS ، DNSpionage  را شناسایی و معرفی کرد که ” Sea Turtle ”  نام داشت.

Sea Turtle شامل مهاجمان دولتی است که از DNS برای هدف قرار دادن سازمان ها و Harvest credential استفاده می کند تا به شبکه های حساس و سیستم ها به شیوه ای دسترسی داشته باشند که توسط قربانیان قابل شناسایی نباشند.این موضوع نشان دهنده دانش منحصر به فرد در مورد چگونگی دستکاری DNS است.

با به دست گرفتن کنترل DNS قربانیان،مهاجمان می توانند هرگونه اطلاعات قزبانیان را از طریق اینترنت تغییر دهند یا جعل کنند.

Talos بیان کرد که ” با اینکه که این حملات، سازمان امنیت ملی در خاورمیانه و شمال آفریقا را هدف قرار داده است اما نگران این هستیم که این عملیات منجر به حملات گسترده در سیستم های DNS جهانی شوند.”

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *