文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

新型恶意软件DecoyDog正大规模入侵DNS

2024-11-30 11:01

关注

目前尚不清楚该恶意软件的幕后黑手是谁,但 Infoblox 的研究人员认为,有4个参与者正在利用和开发该恶意软件来进行具有高度针对性的操作。由于观察到的范围仅限于俄罗斯和东欧地区,似乎该活动与俄乌战争有关。

Decoy Dog仍在活跃

虽然 Infoblox 只分析了 DecoyDog 的 DNS 和网络流量,但由于它基于 Pupy,因此它很可能是在受感染的设备上下载恶意软件负载并执行攻击者发送的命令。

4 月初,Infoblox 专家在6个存在异常 DNS 信标活动的域中发现了DecoyDog,这些域充当该恶意软件的命令和控制 (C2) 服务器:

当时,研究人员表示,他们发现企业网络中出现了相同的 DNS 查询模式,无法与消费设备联系起来,并 确认查询源自数量非常有限的客户网络中的设备。

在 Infoblox 宣布发现并发布技术分析报告后,DecoyDog并没有停止活动,分析报告显示,DecoyDog 在很大程度上是基于 Pupy 开源漏洞后远程访问木马(RAT)。最新的报告表明,DecoyDog是 Pupy 的重大升级,使用了公共存储库中没有的命令和配置。具体观察到的差异包括:

Infoblox 威胁情报主管 Renée Burton 透露,目前DecoyDog 域名服务器、控制器和域的数量已超过20个。

DecoyDog控制器列表

目标明确的恶意软件

根据被动 DNS 流量分析,很难确定DecoyDog客户端的准确数量,这将表明受影响设备的数量,但 Infoblox 在任何一个控制器上观察到的最大活跃并发连接数不到 50 个,最小的只有 4 个。Burton预估,目前被入侵设备的数量仅有几百台,表明目标非常小,是典型的情报行动。

在Infoblox披露DecoyDog后,该恶意软件开始增加地理围栏机制,限制控制器域对来自特定地区 IP 地址的 DNS 查询响应。

Infoblox发现其中一些服务器只有通过俄罗斯 IP 地址DNS 查询时才会响应,而其他服务器则会响应来自任何地点的任何格式良好的查询。这可能意味着受害者位于俄罗斯,但攻击者也可能选择将受害者流量路由到该地区作为诱饵或将查询限制为相关查询。Burton 倾向于前者,认为DecoyDog 的行为类似于 Pupy,并使用默认的递归解析器连接到 DNS。由于在现代网络中改变这一系统相当具有挑战性,因此这些受害者很可能在俄罗斯或邻近国家(也可能通过俄罗斯路由数据)。

TTP 指向多个参与者

Infoblox 根据观察到的战术、技术和程序 (TTP) 来区分操作DecoyDog的4个参与者。然而,他们似乎都会响应与DecoyDog或 Pupy 格式匹配正确的查询。

Burton指出,这种奇怪的行为可能是有意为之,但即使作为密码学家、情报人员和数据科学家,拥有丰富的经验,她也无法归结清楚具体的原因。如果有多个 DecoyDog参与者的理论属实,那么可能有两个参与者用新功能对其进行了改进。

根据 Burton 的说法,4个参与者中有一个拥有公共存储库中最先进的 DecoyDog 版本 ,其客户端连接到控制器 claudfront[.]net。该参与者中的另一个控制器为maxpatrol[.]net,但没有观察到连接行为,这可能与 Positive Technologies 的漏洞和合规管理系统类似。Positive Technologies 是一家俄罗斯网络安全公司,因贩卖国家支持的黑客组织使用的黑客工具和漏洞利用程序在 2021 年受到美国制裁。

Infoblox 指出,DecoyDog的新版本附带了域名生成算法 (DGA)充当紧急模块,如果恶意软件长时间无法与其 C2 服务器通信,则允许受感染的计算机使用第三方 DNS 服务器。从第三个版本开始,DecoyDog提供了广泛的持久性机制,表明其目的是以窃取情报为主,而非出于经济动机或者是红队工具。

DecoyDog尚存诸多疑点

目前,DecoyDog仍然比较神秘,需要进行额外的研究来确定目标、初始入侵方法(例如供应链、已知漏洞、目标设备中的零日漏洞)以及是如何进入网络的。

尽管 Infoblox 得到了信息安全社区(来自主要英特尔供应商、政府机构、威胁研究小组和金融组织)的支持,但该恶意软件的检测结果或其全部范围尚未公开披露。

Infoblox 建议防御者注意,Decoy Dog 和 Pupy 中的 IP 地址代表加密数据,而不是用于通信的真实地址,并关注 DNS 查询和响应,因为它们可以帮助跟踪恶意软件活动。

该公司还创建了一条 YARA 规则,可以检测研究人员自 7 月以来观察到的 DecoyDog 样本,并与公共版本的 Pupy进行区分。

来源:恶意软件内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯