新的Mozart恶意软件获取命令,使用DNS隐藏通信

恶意软件

一种名为Mozart的新型后门恶意软件正在使用DNS协议与远程攻击者进行通信,以逃避安全软件和入侵检测系统的检测。

通常,当恶意软件打电话回家接收应执行的命令时,它将通过HTTP / S协议这样做,以简化使用和通信。

但是,使用HTTP / S通信进行通信有其缺点,因为安全软件通常会监视此流量中是否存在恶意活动。如果检测到,安全软件将阻止连接和执行HTTP / S请求的恶意软件。

MalwareHunterTeam发现的新的Mozart后门中,该恶意软件使用DNS接收来自攻击者的指令并逃避检测。

使用DNS TXT记录发出命令

DNS是一种名称解析协议,用于将主机名(例如www.example.com)转换为其IP地址93.184.216.34,以便软件可以连接到远程计算机。

除了将主机名转换为IP地址之外,DNS协议还允许您查询包含文本数据的TXT记录。

此功能通常用于在线服务和电子邮件安全策略(例如,发件人策略框架DMARC)的域所有权验证。

您也可以将它们用于愚蠢的小示范,例如“ hi.bleepingcomputer.com ” 的TXT记录。

hi.bleepingcomputer.com TXT记录
hi.bleepingcomputer.com TXT记录

莫扎特攻击者正在使用这些DNS TXT记录来存储由恶意软件检索并在受感染计算机上执行的命令。

莫扎特通过DNS播放不良音乐

据信,莫扎特恶意软件是通过网络钓鱼电子邮件分发的,该网络钓鱼电子邮件包含链接到位于https:// masikini [。] com / CarlitoRegular [。] zip的ZIP文件的PDF。

该zip文件包含一个JScript文件,该文件在执行时将提取base64编码的可执行文件,该文件另存为%Temp%\ calc.exe并执行。

Mozart Jscript安装程序
Mozart Jscript安装程序

据SentinelLabs Vitali Kremez负责人分析了此后门程序并与BleepingComputer分享了他的发现后,该恶意软件将首先检查文件%Temp%\ mozart.txt。

如果不存在,它将创建内容为“ 12345”的文件,并在计算机上执行一些准备工作。

这包括将calc.exe文件从%Temp%文件夹复制到%AppData%\ Microsoft \ Windows \ Start Menu \ Programs \ Startup \文件夹中的随机命名的可执行文件,以在受害者每次登录Windows时启动。

mozart.txt文件
mozart.txt文件

根据Kremez的说法,莫扎特恶意软件将在攻击者的控制下与硬编码DNS服务器进行通信,通信方式为93 [。] 188 [。] 155 [。] 2,并发出以下DNS请求以接收指令或配置数据:

加载程序获取机器人ID,并返回用于任务和进一步处理的Base64编码参数:

A.“ .getid”(.1)
机器人生成API序列如下:
GetCurrentHwProfileW-> GetUserNameW-> LookupAccountNameW-> ConvertSidToStringSidWB  

。 “ .gettasks”(.1)
用“,”分隔符

C解析任务。“ .gettasksize”(.1)
分配任务和dnsquery_call 

D的内存。“ .gettask”(.1)
解析特定任务

E.“。 reporttask“(.0 | .1)
通过CreateProcessW API 

F运行任务。” .reportupdates“(.0 | .1)
通过WriteFile和MoveFilW在本地检索并检查更新,以将存储的检查作为” .txt“

H.“ .getupdates”(.0 | .1)
检查是否存在“ .txt”更新,并使用“ wb”标志写入更新,并在调用“ .gettasks”之后检查可执行扩展名(“ .exe”)。

例如,在BleepingComputer的测试中,我们被分配了ID“ 111”的漫游器,这使Mozart对111.1.getid,111.1.getupdates和111.1.gettasks进行DNS TXT查找。

gettasks DNS请求
gettasks DNS请求

在监控Mozart时,我们注意到该恶意软件将不断向攻击者的DNS服务器发出“ gettasks”查询,以查找要执行的命令。

如上所示,如果TXT记录响应为空,则意味着没有命令要执行,恶意软件将一遍又一遍地继续执行此检查,直到提供任务为止。

目前,尚不知道莫扎特正在执行什么命令,因为我自己进行的测试和Kremez并未导致对DNS查询的任何响应。

可能是因为我们没有进行足够长时间的测试,或者攻击者当前正在构建僵尸网络,然后才传输命令。

阻止此类威胁

重要的是要注意,使用DNS进行通信的恶意软件并非Mozart后门所独有。

2017年,思科Talos小组发现了一种名为DNSMessenger恶意软件,该恶意软件也使用TXT记录进行恶意通信。

要阻止莫扎特,我们可以告诉您阻止对93 [。] 188 [。] 155 [。] 2的DNS请求,但是新的变体可以简单地切换到新的DNS服务器,直到我们对这个猫捉老鼠的游戏感到厌倦为止。

相反,务必要注意新颖的恶意通信方法,如果您的安全软件和入侵系统可以监视DNS TXT查询,则应启用它。

*编译:Domino

*来自:Bleeping