-
08/10/2013
-
400
-
985 bài viết
Tin tặc Iran sử dụng back door DNS nhắm mục tiêu vào lĩnh vực năng lượng
Nhóm hack Lycaeum APT của Iran sử dụng một cửa hậu DNS (DNS backdoor) viết bằng .NET để tiến hành các cuộc tấn công vào các công ty trong lĩnh vực năng lượng và viễn thông.
Lyceum là một nhóm tấn công APT (Advanced Persistant Threat) được nhà nước hỗ trợ, còn được gọi là Hexane hoặc Spilrin. Trước đây nhóm này đã nhắm mục tiêu đến các nhà cung cấp dịch vụ truyền thông ở Trung Đông bằng cách sử dụng các cửa hậu DNS.
Một phân tích gần đây của công ty bảo mật Zscaler đã chỉ ra một loại backdoor DNS mới, dựa trên công cụ mã nguồn mở DIG.net để thực hiện các cuộc tấn công "chiếm quyền điều khiển DNS", thực thi mã lệnh, tạo thêm các payload độc hại và trích chọn các dữ liệu nhạy cảm trên máy nạn nhân.
Chiếm quyền điều khiển DNS hay còn gọi là cướp phiên DNS, là một dạng tấn công chuyển hướng dựa trên thao tác truy vấn DNS, để chuyển người dùng đang cố gắng truy cập một trang web hợp lệ, tới một bản sao độc hại, được lưu trữ trên máy chủ do kẻ tấn công kiểm soát.
Bắt đầu với tài liệu Word
Cuộc tấn công bắt đầu bằng việc lừa người dùng tải về một tài liệu Word có chứa macro độc hại từ một trang web giả mạo là một trang tin tức. Bài tin tức khá nhạy cảm và thu hút người đọc với chủ đề “Các vấn đề quân sự Iran.”
Tài liệu word độc hại (Nguồn. Zscaler)
Nếu người dùng cho bấm vào tùy chọn cho phép macro trên Microsoft Office của họ chạy, backdoor DNS sẽ được copy vào vào thư mục Startup để tự chạy khi máy tính khởi động lại.
Phân tích file backdoor (Zscaler)Phân tích cửa hậu DNS
Cửa hậu sử dụng tên tệp "DnsSystem.exe", là một phiên bản tùy chỉnh của DIG.net , được các đối tượng điều chỉnh theo nhu cầu của họ. "Các tác nhân đe dọa đã tùy chỉnh và nối thêm mã cho phép chúng thực hiện các truy vấn DNS cho các bản ghi khác nhau trên máy chủ DNS tùy chỉnh, phân tích cú pháp phản hồi của truy vấn để thực hiện các lệnh hệ thống từ xa và tải lên / tải xuống tệp từ máy chủ Command & Control bằng cách khai thác điểm yếu của giao thức DNS. "
Phần mềm độc hại thiết lập máy chủ chiếm quyền điều khiển DNS bằng cách lấy địa chỉ IP của miền "cyberclub [.] One" và tạo mã băm MD5 dựa trên tên người dùng của nạn nhân để làm ID nạn nhân duy nhất.
Tạo ID nạn nhân duy nhất trên mỗi máy (Zscaler)Ngoài việc thực hiện các cuộc tấn công chiếm quyền điều khiển DNS, backdoor cũng có thể nhận lệnh từ máy chủ ra lệnh C2 để thực thi trên máy bị xâm nhập. Các câu trả lời truy vấn có dạng bản ghi TXT.
Các lệnh này được chạy thông qua công cụ cmd.exe (dấu nhắc lệnh của Windows) và kết quả được gửi trở lại C2 dưới dạng bản ghi DNS A.
Quy trình thực thi lệnh của phần mềm độc hại (Zscaler)
Ngoài ra, backdoor có thể lấy cắp các file trên máy nạn nhân đẩy lên máy chủ C2 hoặc tải tệp xuống từ một tài nguyên từ xa và giảm tải bổ sung.
Sự phát triển của Lyceum
Lyceum là một nhóm tin tặc tập trung vào hoạt động gián điệp mạng, và việc tạo ra loại mã độc DNS backdoor tinh vi và mới này là dấu mốc cho sự leo thang của họ trong lĩnh vực này.Các tin tặc Iran dự kiến sẽ tiếp tục tham gia vào các chiến dịch thu thập thông tin.
Tuy nhiên, để có thể bị lây nhiễm bởi backdoor này, người dùng phải đồng ý bật tính năng cho phép macro trên bộ Office, điều này sẽ tạo ra sự nghi ngờ đáng kể với những người cảnh giác.
Lyceum là một nhóm tấn công APT (Advanced Persistant Threat) được nhà nước hỗ trợ, còn được gọi là Hexane hoặc Spilrin. Trước đây nhóm này đã nhắm mục tiêu đến các nhà cung cấp dịch vụ truyền thông ở Trung Đông bằng cách sử dụng các cửa hậu DNS.
Một phân tích gần đây của công ty bảo mật Zscaler đã chỉ ra một loại backdoor DNS mới, dựa trên công cụ mã nguồn mở DIG.net để thực hiện các cuộc tấn công "chiếm quyền điều khiển DNS", thực thi mã lệnh, tạo thêm các payload độc hại và trích chọn các dữ liệu nhạy cảm trên máy nạn nhân.
Chiếm quyền điều khiển DNS hay còn gọi là cướp phiên DNS, là một dạng tấn công chuyển hướng dựa trên thao tác truy vấn DNS, để chuyển người dùng đang cố gắng truy cập một trang web hợp lệ, tới một bản sao độc hại, được lưu trữ trên máy chủ do kẻ tấn công kiểm soát.
Bắt đầu với tài liệu Word
Cuộc tấn công bắt đầu bằng việc lừa người dùng tải về một tài liệu Word có chứa macro độc hại từ một trang web giả mạo là một trang tin tức. Bài tin tức khá nhạy cảm và thu hút người đọc với chủ đề “Các vấn đề quân sự Iran.”
Tài liệu word độc hại (Nguồn. Zscaler)
Phân tích file backdoor (Zscaler)
Cửa hậu sử dụng tên tệp "DnsSystem.exe", là một phiên bản tùy chỉnh của DIG.net , được các đối tượng điều chỉnh theo nhu cầu của họ. "Các tác nhân đe dọa đã tùy chỉnh và nối thêm mã cho phép chúng thực hiện các truy vấn DNS cho các bản ghi khác nhau trên máy chủ DNS tùy chỉnh, phân tích cú pháp phản hồi của truy vấn để thực hiện các lệnh hệ thống từ xa và tải lên / tải xuống tệp từ máy chủ Command & Control bằng cách khai thác điểm yếu của giao thức DNS. "
Phần mềm độc hại thiết lập máy chủ chiếm quyền điều khiển DNS bằng cách lấy địa chỉ IP của miền "cyberclub [.] One" và tạo mã băm MD5 dựa trên tên người dùng của nạn nhân để làm ID nạn nhân duy nhất.
Tạo ID nạn nhân duy nhất trên mỗi máy (Zscaler)
Các lệnh này được chạy thông qua công cụ cmd.exe (dấu nhắc lệnh của Windows) và kết quả được gửi trở lại C2 dưới dạng bản ghi DNS A.
Quy trình thực thi lệnh của phần mềm độc hại (Zscaler)
Ngoài ra, backdoor có thể lấy cắp các file trên máy nạn nhân đẩy lên máy chủ C2 hoặc tải tệp xuống từ một tài nguyên từ xa và giảm tải bổ sung.
Sự phát triển của Lyceum
Lyceum là một nhóm tin tặc tập trung vào hoạt động gián điệp mạng, và việc tạo ra loại mã độc DNS backdoor tinh vi và mới này là dấu mốc cho sự leo thang của họ trong lĩnh vực này.Các tin tặc Iran dự kiến sẽ tiếp tục tham gia vào các chiến dịch thu thập thông tin.
Tuy nhiên, để có thể bị lây nhiễm bởi backdoor này, người dùng phải đồng ý bật tính năng cho phép macro trên bộ Office, điều này sẽ tạo ra sự nghi ngờ đáng kể với những người cảnh giác.
Tham khảo Bleeping Computer