Beveiligingsonderzoekers van Cisco Talos ontdekten DNSpionage in november en waarschuwt deze week voor nieuwe exploits en risico's die de aanvaller met zich meebrengt. "De verdere ontwikkeling van DNSpionage malware laat zien dat de aanvaller steeds nieuwe manieren blijft vinden om detectie te omzeilen", aldus een nieuw artikel van het bedrijf.
DNS monitoren
"DNS-tunneling is een populaire methode om te exfiltreren en recente voorbeelden van DNSpionage illustreren dat we er zorg voor moeten dragen dat DNS net zo gemonitord wordt als de normale proxy of weblogs van een bedrijf", schrijft Talos. "DNS is in feite het telefoonboek van het internet en als daaraan wordt gesjoemeld wordt het lastig om te bepalen of wat je online ziet legitiem is."
In het eerste rapport stelden de onderzoekers dat de aanvaller zich richtte op diverse bedrijven in het Midden-Oosten en de Verenigde Arabische Emiraten. Er werden twee malafide websites gebruikt die vacatures aanboden en waren ontworpen om doelen te veroveren via Microsoft Office-documenten met macro's. De malware ondersteunde HTTP- en DNS-communicatie met de aanvaller.
In een aanval gebruikten de kwaadwillenden hetzelfde IP-adres om de DNS om te leiden van .gov en domeinen van privébedrijven. Voor elke DNS-kaping gebruikte de aanvaller een zorgvuldig gegenereerd Let's Encrypt-certificaat voor de domeinen waar naar werd verwezen. Dit levert de aanvallers X.509 TLS-certificaten op die niets kosten.
Nieuwe malware
Deze week onthulde Cisco dat de makers van de malware een nieuwe remote admintool hebben gemaakt die HTTP- en DNS-communicatie met de command-and-controlserver (C&C) ondersteunen. "In een voorgaande post over DNSpionage, hebben we laten zien dat de malwaremaker malafide macro's in Microsoft Word-documenten verwerkt. In een nieuwe sample die we in februari in Libanon aantroffen, werd een Excel-document gebruikt met een soortgelijke macro."
"De HTTP-communicatie wordt verborgen in comments in de HTML-code. Deze keer bootst de C&C GitHub na in plaats van Wikipedia. Hoewel de DNS-communicatie dezelfde methode volgt die we in een eerder artikel beschreven, heeft de ontwikkelaar nieuwe features toegevoegd in deze versie en heeft de maker de debug-modus verwijderd."
Talos voegt eraan toe dat het C&C-domein 'bizar' is. "De vorige versie van DNSpionage gebruikte legitiem ogende domeinen om onopgemerkt te blijven. Maar deze nieuwe versie bevat het domein 'coldfart[.]com', wat makkelijker is op te merken dan andere APT-aanvallen die zich in de regel verbergen door zakelijk gebruikelijk verkeer na te bootsen. Dit domein werd gehost in de VS, wat ongebruikelijk is voor een spionage-aanval."
Karkoff
Onderzoekers van talos zeggen dat er nu ook een verkenningsfase is toegevoegd, om ervoor te zorgen dat de payload wordt afgeleverd bij specifieke doelwitten in plaats van lomp downloaden op elke mogelijke machine. De aanval geeft ook informatie terug over het werkstation, inclusief platformspecifieke informatie, de domeinnaam en de lokale computer, en informatie over het OS. Dat is belangrijke informatie om slachtoffers te kiezen en onderzoekers of sandboxes te omzeilen.
Het fingerprinten van slachtoffers laat zien dat de makers hun aanvalstechnieken evolueren. Deze nieuwe tactiek laat zien dat de aanvaller zorgvuldiger te werk gaat, waarschijnlijk als reactie op de aandacht voor DNSpionage. Talos merkt op dat er verschillende artikelen zijn geweest over DNSpionage-aanvallen en in januari gaf het Amerikaanse ministerie van Homeland Security een waarschuwing over deze dreiging.
Ook blijft de malware zich maar verder ontwikkelen. Deze maand identificeerde Talos ongedocumenteerde malware die in .NET was ontwikkeld met in de code omschreven naam 'Karkoff'. "Deze malware is lichtgewicht vergeleken met andere versies vanwege de kleine grootte en het op afstand aanspreken van code via de C&C-server. Er is geen obfuscatie en de code kan makkelijk uit elkaar worden gehaald", aldus Talos. Karkoff zoekt naar twee specifieke antivirusplatforms, Avira en Avast, en de malware werkt daar omheen.
Sea Turtle
Talos maakt onderscheid tussen DNSpionage en een andere DNS-aanvalstechniek genaamd Sea Turtle. Dat zijn staatshackers die DNS misbruiken om credentials te kapen en toegang te krijgen tot systemen op zo'n manier dat de slachtoffer dat niet kan detecteren. Dat laat zien dat de aanvaller unieke kennis heeft over hoe je DNS manipuleert, aldus Talos.
Door controle te krijgen over de DNS van de slachtoffers, kunnen aanvallers data die gebruikers via het internet ontvangen wijzigen of vervalsen, heimelijk name-records aanpassen om te verwijzen naar servers die in het beheer zijn van de aanvaller en gebruikers van die sites zouden dat nooit opmerken, waarschuwt Talos.
"Hoewel dit incident zich voornamelijk beperkt tot nationale veiligheidsdiensten in het Midden-Oosten en Noord-Afrikam moeten we de consequenties van deze campagne niet onderschatten. We maken ons zorgen dat het succes van deze operatie ertoe leidt dat meer actoren wereldwijd het DNS-systeem aanvallen."
Reageer
Preview