Эксперты Cisco Talos обнаружили киберкампанию, в рамках которой многофункциональная вредоносная программа DNSMessenger задействует DNS для того, чтобы установить двусторонний канал связи с операторами.
Распространение вредоносной программы, замаскированной под защищенный документ Microsoft Word, осуществляется посредством фишинга. Для того, чтобы просмотреть содержимое документа, пользователя просят активировать соответствующий функционал. В действительности жертву обманом вынуждают запустить исполнение вредоносного Powershell-скрипта.
Затем вредоносная программа осуществляет проверку окружения, а именно определяет права пользователя на системе и установленную версию Powershell. Исходя из итогов проверки выбирается место, где будет хранится второй вредоносной скрипт: ADS (альтернативные потоки данных) в файловой системе NTFS или непосредственно реестр Windows.
В скрипте присутствует дополнительный обфусцированный код, который создает двусторонний канал связи посредством DNS, позволяющий передавать вредоносной программе команды и получать от нее ответы.
Обычно DNS применяется для того, чтобы получать информацию о доменах и IP-адресах, но система работает с различными типами записей, включая TXT.
По словам специалистов Cisco Talos, коммуникации программы с командным сервером осуществляются с помощью DNS TXT запросов.
Как правило, в организациях внимание уделяется HTTP- и HTTPS-трафику, однако лишь немногие проводят мониторинг DNS, на что и рассчитывают киберпреступники.