DNSMessenger‘a dikkat
Siber suçların yeni türleri gelişirken, geleneksel etkinlikler her zaman izlenmeyen standart sistem araçlarının ve protokollerinin kullanılmasını içeren daha gizemli teknikler haline geliyor gibi görünüyor.
Artık yemek siparişinizi robotlar getirecek
DNSMessenger; tehlikeli bilgisayarlarda kötü amaçlı PowerShell komutlarını yapmak için DNS sorgularını kullanan yeni bir Uzaktan Erişim Truva Atı (RAT)’dır. RAT’yi hedeflenen sistemlerde tespit etmeyi zorlaştıran bir tekniktir.
Truva, Cisco’nun Talos tehdit araştırma grubunun dikkatine, Simpo adında bir güvenlik araştırmacısı tarafından geldi ve PowerShell komut dosyasında ‘SourceFireSux’ yazan bir cümleyi vurguladı. SourceFire, Cisco’nun kurumsal güvenlik ürünlerinden biridir.
Zararlı yazılımın daha fazla analizi sonucunda Talos araştırmacıları, kötü niyetli bir Word belgesini ve komut istemci sunucuları ile iletişim kuran bir PowerShell arka kapı içeren gelişmiş bir saldırıyı keşfetmişlerdir. Araştırmacılar Edmund Brumaghin ve Colin Grady tarafından Perşembe günü yayınlanan bir blog yazısına göre. Kötü niyetli Word belgesi “McAfee tarafından güvenli bir e-posta hizmeti ile ilişkilendirilmiş gibi hazırlanmış ” şekilde hazırlandı.
Sistem Nasıl Çalışıyor?
Belge açıldığında, belge, arka kapıyı hedef sisteme çalıştırmak için bağımsız bir PowerShell komut dosyası çalıştırmak için. Bir Visual Basic for Applications (VBA) makrosu başlatır. İlginç olan nedir? Bu noktaya kadar her şey, belleğe kaydedilir ve sistemin diskine herhangi bir kötü amaçlı dosya yazmaz. Daha sonra, VBA betiği, oturum açan kullanıcının ayrıcalıkları ve hedef sistemde kurulu olan PowerShell sürümü gibi hedef ortamın çeşitli parametrelerini kontrol etmeyi içeren, sıkıştırılmış ve sofistike bir ikinci aşamayı PowerShell’in paketinden çıkarır ve süreç başlar.
Bir e-posta kimlik avı kampanyası yoluyla dağıtılan DNSMessenger saldırısı , hedeflenen sisteme dosya yazmayı içermediğinden tamamen Fileless olur ; Bunun yerine, uzaktan DNS TXT kayıtları olarak depolanan kötü amaçlı PowerShell komutlarını almak için DNS TXT mesajlaşma yeteneklerini kullanır. Bu özellik, standart anti-malware savunmalarının görünmez olmasını sağlar.
SON DAKİKA
EN ÇOK OKUNANLAR
2,33 milyarın üzerinde kullanıcısı olan WhatsApp’a yeni emoji! Gören aynı şeyi söyledi: 'ÇOK TATLI!'
Instagram’a ekran görüntüsü almayı engelleme özelliği geliyor
WHATSAPP KULLANICILARI DİKKAT! Tüm bilgileriniz tehlikede olabilir
Bakan Kacır, Milano'daki 75. Uluslararası Uzay Kongresi'ne katıldı
Twitch kapatılacak mı, yasaklanacak mı? Bakan Uraloğlu'ndan önemli açıklama!