Yeni siber tehlike: DNSMessenger 

DNSMessenger; tehlikeli bilgisayarlarda kötü amaçlı PowerShell komutlarını yapmak için DNS sorgularını kullanan yeni bir Uzaktan Erişim Truva Atı (RAT)’dır. RAT’yi hedeflenen sistemlerde tespit etmeyi zorlaştıran bir tekniktir.

Truva, Cisco’nun Talos tehdit araştırma grubunun dikkatine, Simpo adında bir güvenlik araştırmacısı tarafından geldi ve PowerShell komut dosyasında ‘SourceFireSux’ yazan bir cümleyi vurguladı. SourceFire, Cisco’nun kurumsal güvenlik ürünlerinden biridir.

Zararlı yazılımın daha fazla analizi sonucunda Talos araştırmacıları, kötü niyetli bir Word belgesini ve komut istemci sunucuları ile iletişim kuran bir PowerShell arka kapı içeren gelişmiş bir saldırıyı keşfetmişlerdir. Araştırmacılar Edmund Brumaghin ve Colin Grady tarafından Perşembe günü yayınlanan bir blog yazısına göre. Kötü niyetli Word belgesi “McAfee tarafından güvenli bir e-posta hizmeti ile ilişkilendirilmiş gibi hazırlanmış ” şekilde hazırlandı.DNSMessenger

Sistem Nasıl Çalışır?

Belge açıldığında, belge, arka kapıyı hedef sisteme çalıştırmak için bağımsız bir PowerShell komut dosyası çalıştırmak için. Bir Visual Basic for Applications (VBA) makrosu başlatır. İlginç olan nedir? Bu noktaya kadar her şey, belleğe kaydedilir ve sistemin diskine herhangi bir kötü amaçlı dosya yazmaz. Daha sonra, VBA betiği, oturum açan kullanıcının ayrıcalıkları ve hedef sistemde kurulu olan PowerShell sürümü gibi hedef ortamın çeşitli parametrelerini kontrol etmeyi içeren, sıkıştırılmış ve sofistike bir ikinci aşamayı PowerShell’in paketinden çıkarır ve süreç başlar.

Bir e-posta kimlik avı kampanyası yoluyla dağıtılan DNSMessenger saldırısı , hedeflenen sisteme dosya yazmayı içermediğinden tamamen Fileless olur ; Bunun yerine, uzaktan DNS TXT kayıtları olarak depolanan kötü amaçlı PowerShell komutlarını almak için DNS TXT mesajlaşma yeteneklerini kullanır. Bu özellik, standart anti-malware savunmalarının görünmez olmasını sağlar.

CNN Türk