新的Mozart恶意软件获取命令，使用DNS隐藏通信

一种名为Mozart的新型后门恶意软件正在使用DNS协议与远程攻击者进行通信，以逃避安全软件和入侵检测系统的检测。

通常，当恶意软件打电话回家接收应执行的命令时，它将通过HTTP / S协议这样做，以简化使用和通信。

但是，使用HTTP / S通信进行通信有其缺点，因为安全软件通常会监视此流量中是否存在恶意活动。如果检测到，安全软件将阻止连接和执行HTTP / S请求的恶意软件。

在MalwareHunterTeam发现的新的Mozart后门中，该恶意软件使用DNS接收来自攻击者的指令并逃避检测。

使用DNS TXT记录发出命令

DNS是一种名称解析协议，用于将主机名（例如www.example.com）转换为其IP地址93.184.216.34，以便软件可以连接到远程计算机。

除了将主机名转换为IP地址之外，DNS协议还允许您查询包含文本数据的TXT记录。

此功能通常用于在线服务和电子邮件安全策略（例如，发件人策略框架或DMARC）的域所有权验证。

您也可以将它们用于愚蠢的小示范，例如“ hi.bleepingcomputer.com ” 的TXT记录。

莫扎特攻击者正在使用这些DNS TXT记录来存储由恶意软件检索并在受感染计算机上执行的命令。

莫扎特通过DNS播放不良音乐

据信，莫扎特恶意软件是通过网络钓鱼电子邮件分发的，该网络钓鱼电子邮件包含链接到位于https：// masikini [。] com / CarlitoRegular [。] zip的ZIP文件的PDF。

该zip文件包含一个JScript文件，该文件在执行时将提取base64编码的可执行文件，该文件另存为％Temp％\ calc.exe并执行。

据SentinelLabs Vitali Kremez负责人分析了此后门程序并与BleepingComputer分享了他的发现后，该恶意软件将首先检查文件％Temp％\ mozart.txt。

如果不存在，它将创建内容为“ 12345”的文件，并在计算机上执行一些准备工作。

这包括将calc.exe文件从％Temp％文件夹复制到％AppData％\ Microsoft \ Windows \ Start Menu \ Programs \ Startup \文件夹中的随机命名的可执行文件，以在受害者每次登录Windows时启动。

根据Kremez的说法，莫扎特恶意软件将在攻击者的控制下与硬编码DNS服务器进行通信，通信方式为93 [。] 188 [。] 155 [。] 2，并发出以下DNS请求以接收指令或配置数据：

例如，在BleepingComputer的测试中，我们被分配了ID“ 111”的漫游器，这使Mozart对111.1.getid，111.1.getupdates和111.1.gettasks进行DNS TXT查找。

在监控Mozart时，我们注意到该恶意软件将不断向攻击者的DNS服务器发出“ gettasks”查询，以查找要执行的命令。

如上所示，如果TXT记录响应为空，则意味着没有命令要执行，恶意软件将一遍又一遍地继续执行此检查，直到提供任务为止。

目前，尚不知道莫扎特正在执行什么命令，因为我自己进行的测试和Kremez并未导致对DNS查询的任何响应。

可能是因为我们没有进行足够长时间的测试，或者攻击者当前正在构建僵尸网络，然后才传输命令。

阻止此类威胁

重要的是要注意，使用DNS进行通信的恶意软件并非Mozart后门所独有。

2017年，思科Talos小组发现了一种名为DNSMessenger的恶意软件，该恶意软件也使用TXT记录进行恶意通信。

要阻止莫扎特，我们可以告诉您阻止对93 [。] 188 [。] 155 [。] 2的DNS请求，但是新的变体可以简单地切换到新的DNS服务器，直到我们对这个猫捉老鼠的游戏感到厌倦为止。

相反，务必要注意新颖的恶意通信方法，如果您的安全软件和入侵系统可以监视DNS TXT查询，则应启用它。

*编译：Domino

*来自：Bleeping