Эксперты Cisco Talos обнаружили необычную RAT-программу SourceFireSux, задействующую интересную технику для избегания обнаружения в корпоративных сетях. Она сохраняет вредоносные PowerShell-команды внутри ресурсных DNS TXT записей.
Впервые вредоносная программа была обнаружена исследователем, который известен как Simpo. Он дал вредоносной программе название DNSMessenger. Специалисты Cisco Talos узнали о программе после того, как Simpo нашел в коде строку Base64, которую он расшифровал и получил слово SourceFireSux. SourceFire является корпоративным продуктом компании Cisco.
В ходе анализа SourceFireSux исследователи Cisco сделали вывод, что вредоносная программа является гораздо более сложной, чем предполагалось первоначально. В отчете указано, что SourceFireSux распространяется посредством вредоносного документа Microsoft Office, прикрепленного к спам-письму. При открытии данного вложенного файла срабатывает VBA-скрипт, который осуществляет распаковку PowerShell-скрипта и запускает его выполнение.
Этот скрипт осуществляет проверку версии PowerShell и помогает вредоносной программе закрепиться в системе посредством изменения ключей реестра. Затем SourceFireSux пересылает DNS-запросы к одному из большого числа доменов, которые были жестко закодированы во вредоносной программе.
Задачей запросов является извлечение DNS TXT записей – небольших кусочков текста, позволяющих передавать за пределы домена текстовую информацию. Этот текст может применяться для разных целей и может быть предназначен и для людей, и для машин. В таком случае в записях содержатся PowerShell-команды (Base64), позволяющие вредоносной программе осуществлять загрузку дополнительных компонентов в RAM жертвы. Таким образом киберпреступники проводят fileless-атаку, не оставляющую каких-либо следов на жестком диске пострадавшей стороны, что крайне затрудняет фиксацию вреодоносной программы. Для выявления подозрительной активности SourceFireSux необходимо по крайней мере осуществлять мониторинг DNS-трафика.
Для того, чтобы получать последующие команды, вредоносная программа также применяет DNS-запросы и обращается к другому перечню доменов, имеющему небольшие отличия от первоначального.
Поскольку во время проведения расследования все домены, жестко закодированные во вредоносной программе, уже находились в неактивном состоянии, исследователи не смогли узнать, какие именно команды передавались инфицированным хостам.
Кроме того, исследователи утверждают, что SourceFireSux определенно применялась для направленных атак на организации, причем относительно недавно. Так, домены, к которым обращалась вредоносная программа, были зарегистрированы 18 февраля текущего года, а связанные с ними образцы PowerShell функционировали с 22 по 25 февраля. Более того, вероятно, что киберпреступники пользовались разными наборами доменов для каждой из целевых организаций.