Новият малуер Mozart: Класически случай на DNS малуер

4
671

Експерти по сигурността засякоха нов малуер да циркулира в интернет пространството, работещ на принципа на DNS атаките.

DNS атаките имат сравнително богата история в кибер сигурността и често са идеално средство за улесняване на злонамерената дейност на хакерите, поради няколко причини: DNS се използват от всички повсеместно, надеждни са и много често не се следят или филтрират по подходящ начин. DNS е и най-добрият начин за свързването на определена услуга с даден IP адрес. Ето защо голяма част от съвременния злонамерен софтуер е насочен именно към този протокол.

Mozart, нов злонамерен софтуер, открит за първи път от екипа на MalwareHunterTeam, е класически случай за малуер използващ DNS за отдалечено атакуване на системата. Неговият създател използва TXT записи за изпълнение  на команди на системата с инсталирания зловреден софтуер.

Вижте какво казва Витали Кремез, ръководител на SentinelLabs по темата в публикация в своя блог:

„Причината този метод за атаки да е привлекателен за хакерите е, че DNS е широко използван. Изпращате заявка за намирането на определен интернет ресурс и получавате отговор на зявката почти мигновено. Предвид факта, че голяма част от DNS сървърите дори на едни от най-популярните платформи в света остават незащитени по подходящия начин, е отлично и благодатно поле за множество атаки.“

Авторите на зловредния код залагат на факта, че организациите често не следят DNS записите веднъж създадени. Често много от нас дори не се замислят за DNS сървърите – независимо дали става въпрос за обикновените потребители, любителите, а понякога дори експертите.

Как работи Mozart?

Mozart създава директна линия за комуникация между заразен клиент и DNS сървър имитиращ този на оригинална платформа, с цел изпълнението на злонамерени команди върху потребителската система. Това се случва чрез т.нар. „твърдо кодиране“ на IP адрес към DNS сървър, до който достъпва заразеният клиент, като по този начин заобикаля централните DNS сървъри и зададените DNS записи за достъп до онлайн ресурса. Командите, които след това се предават между сървъра със злонамерения софтуер и заразеното устройство, са скрити в DNS TXT записи.

Блокирането не е достатъчно

Използването на защитна стена и блокирането на IP адреси, за които е потвърдено, че са свързани със злонамерен софтуер, не е достатъчно, тъй като Mozart използва „твърд кодиран DNS сървър IP адрес“, което ще рече, че е възможно хакерите стоящи зад зловредния софтуер да актуализират IP адресите безброй пъти или да ги сменят през определени интервали от време, което на практика лишава от ефективност познатите ни мерки при подобни ситуации, тъй като тук не говорим за обикновен DNS фишинг.

Експертите съветват всички като обща препоръка да държат винаги актуални дефинициите на антивирусния си софтуер и да актуализират черния си списък със злонамерени IP адреси и DNS сървъри.

 

 

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
4 Коментара
стари
нови оценка
Отзиви
Всички коментари