Dünyanın önde gelen ağ teknolojileri şirketi Cisco’nun Talos Güvenlik İstihbaratı ve Araştırma Grubu, köklerini gizleme de usta olduğu tespit edilen kötücül bir yazılım üzerine yaptığı araştırma sonuçlarını açıkladı.
Araştırmaya göre bu yazılım, DNS TXT kayıt sorgularını ve yanıtlarını çift yönlü Komuta ve Kontrol (C2) kanalı oluşturmak için kullanıyor.
Bu taktik, bir makineye başlangıçta kötücül yazılım bulaştıktan sonra saldırganlara, daha sonraki komutları vermek ve sonuçları saldırgana geri göndermek için Alan Adı Sistemi (DNS) üzerinden iletişimi kullanma imkanı sağlıyor.
Başka bir deyişle, RAT (Uzaktan erişim aracı) uygulanıyor, ancak araştırmacılara göre bu oldukça sıradışı ve aynı zamanda da kaçamak bir yöntem.
Esasen saldırganın bir dizi dosyasız Windows komut satırı uygulaması olan Powershell’i başlatması hackerların tespit edilmekten nasıl kıl payı kurtulduklarını gösterir nitelikte.
DNS, elbette çoğu kurumsal ağda yaygın olarak kullanılan bir internet uygulama protokolü. Ancak, araştırmacılara göre, birçok işletme, web trafiğinden geçen iletişimlerin ağ çıkışını korumak için bazı gerekli tedbirleri alabilecek nitelikteyken, diğerleri bu gibi DNS tabanlı saldırıları azaltma araçlarından yoksundurlar. Bu nedenle faaliyetlerini gizlemek için DNS’i farklı ağ protokolleriyle kirleten saldırganlar için cazip bir yöntem niteliği taşıyor.
İlgili haber >> Cisco Jasper’la IoT pazarında genişliyor
Raporun yazarlarından Edmund Brumaghin ve Colin Grady bu DNS tabanlı kötücül yazılım araştırmalarına ‘SourceFireSux’ ifadesini içeren base64 kod dizeli bir Powershell komut dosyasını takip ederek başladılar.
Bu takip onları halka açık kötücül yazılım analiz havuzu olan Hibrid Analiz’e yüklenen bir örneğe, oradan ise Pastebin sayfasındaki bir ipucunu izleyerek yine halka açık sanal havuza yüklenen bir Word dokümanına yönlendirdi.
Word dokümanındaki çok aşamalı enfeksiyon süreci ile Hibrid Analiz sanal havusundaki örnek arasındaki benzerlikleri farkeden araştırmacılar ellerindeki telemetri verilerini girdiler ve başka örnekler tespit ettiler.
Araştırmacılara göre, bu kötü amaçlı yazılım örneği, saldırganların hedefledikleri ortamlarda çalışırken tespit edilmemek için ne kadar uğraştıklarını gösteren harika bir örnek.
“Ayrıca bu örnek, HTTP/HTTPS, SMTP/POP3 vb. gibi ağ protokollerini inceleme ve filtrelemenin önemini de göstermektedir” diye ekliyor araştırmacılar.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]