Un malware qui cache ses échanges dans les enregistrements DNS
Les efforts de furtivité se poursuivent du côté des attaquants. Des chercheurs ont mis à la main sur un logiciel malveillant qui communique de manière bidirectionnelle via les champs TXT des enregistrements DNS.
La créativité des cyberdélinquants apparaît sans limite. Certains utilisent des comptes Twitter pour communiquer avec leurs logiciels malveillants, ou encore la plateforme de notifications push Google Cloud Messaging. Les équipes Talos (Cisco) spécialisées dans le renseignement sur les menaces ont découvert une autre méthode, basée sur les champs libres TXT des enregistrements DNS.
Dans un billet de blog, les chercheurs relèvent que “l’utilisation des DNS est généralement liée à l’exfiltration d’information”. Mais là, il s’agit de les mettre à contribution pour “créer un canal de communication de commande et de contrôle bidirectionnel”, via les champs TXT : “cela permet à l’attaquant d’utiliser les communications DNS pour soumettre de nouvelles commandes à exécuter sur les machines infectées” pour en récupérer ensuite les résultats. Et de décrire une “façon extrêmement peu courant et évasive d’administrer un cheval de Troie d’accès à distance”. Les domaines utilisés ont été déposés récemment, début février, via NameCheap ; l’essentiel des activités sur ces domaines semble avoir eu lieu à la fin du mois dernier.
La source de la chaîne d’infection est un document Word, délivré par hameçonnage, et embarquant des commandes Visual Basic utilisées pour lancer une commande Powershell, “largement encodée en Base64 et compressée avec gzip”. De quoi renvoyer aux méthodes employées par les auteurs de PowerSniff ou encore d’un logiciel malveillant récemment découvert par Kaspersky : s’exécuter en mémoire pour laisser un minimum de trace, si ce n’est le vecteur de compromission initial.