新型恶意软件DecoyDog正大规模入侵DNS

这篇具有很好参考价值的文章主要介绍了新型恶意软件DecoyDog正大规模入侵DNS。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

安全厂商 Infoblox 的调查研究显示,一个名为 DecoyDog(诱饵狗)的复杂恶意工具包通过域名系统(DNS),从事网络间谍活动已达1年以上。

新型恶意软件DecoyDog正大规模入侵DNS,安全

目前尚不清楚该恶意软件的幕后黑手是谁,但 Infoblox 的研究人员认为,有4个参与者正在利用和开发该恶意软件来进行具有高度针对性的操作。由于观察到的范围仅限于俄罗斯和东欧地区,似乎该活动与俄乌战争有关。

DecoyDog仍在活跃

虽然 Infoblox 只分析了 DecoyDog 的 DNS 和网络流量,但由于它基于 Pupy,因此它很可能是在受感染的设备上下载恶意软件负载并执行攻击者发送的命令。

4 月初,Infoblox 专家在6个存在异常 DNS 信标活动的域中发现了DecoyDog,这些域充当该恶意软件的命令和控制 (C2) 服务器:

  • cbox4[.]ignorelist[.]com
  • claudfront[.]net
  • hsdps[.]cc
  • ads-tm-glb[.]click
  • atlas-upd[.]com
  • allowlisted[.]net

当时,研究人员表示,他们发现企业网络中出现了相同的 DNS 查询模式,无法与消费设备联系起来,并 确认查询源自数量非常有限的客户网络中的设备。

在 Infoblox 宣布发现并发布技术分析报告后,DecoyDog并没有停止活动,分析报告显示,DecoyDog 在很大程度上是基于 Pupy 开源漏洞后远程访问木马(RAT)。最新的报告表明,DecoyDog是 Pupy 的重大升级,使用了公共存储库中没有的命令和配置。具体观察到的差异包括:

  • 使用 Python 3.8,而 Pupy 是用 Python 2.7 编写的;
  • 许多改进,包括 Windows 兼容性和更好的内存操作;
  • 通过添加多个通信模块显著扩展了 Pupy 中的通信词汇量;
  • 会响应先前 DNS 查询的重播,而 Pupy 则不会;
  • 能响应通配符 DNS 请求,使被动 DNS 中的解析数量增加了一倍;
  • 能响应与客户端有效通信结构不匹配的 DNS 请求;
  • 能将任意 Java 代码注入 JVM 线程来增加运行任意 Java 代码的能力,并添加在受害设备上维持持久性的方法。

Infoblox 威胁情报主管 Renée Burton 透露,目前DecoyDog 域名服务器、控制器和域的数量已超过20个。

新型恶意软件DecoyDog正大规模入侵DNS,安全

DecoyDog控制器列表

目标明确的恶意软件

根据被动 DNS 流量分析,很难确定DecoyDog客户端的准确数量,这将表明受影响设备的数量,但 Infoblox 在任何一个控制器上观察到的最大活跃并发连接数不到 50 个,最小的只有 4 个。Burton预估,目前被入侵设备的数量仅有几百台,表明目标非常小,是典型的情报行动。

在Infoblox披露DecoyDog后,该恶意软件开始增加地理围栏机制,限制控制器域对来自特定地区 IP 地址的 DNS 查询响应。

Infoblox发现其中一些服务器只有通过俄罗斯 IP 地址DNS 查询时才会响应,而其他服务器则会响应来自任何地点的任何格式良好的查询。这可能意味着受害者位于俄罗斯,但攻击者也可能选择将受害者流量路由到该地区作为诱饵或将查询限制为相关查询。Burton 倾向于前者,认为DecoyDog 的行为类似于 Pupy,并使用默认的递归解析器连接到 DNS。由于在现代网络中改变这一系统相当具有挑战性,因此这些受害者很可能在俄罗斯或邻近国家(也可能通过俄罗斯路由数据)。

TTP 指向多个参与者

Infoblox 根据观察到的战术、技术和程序 (TTP) 来区分操作DecoyDog的4个参与者。然而,他们似乎都会响应与DecoyDog或 Pupy 格式匹配正确的查询。

Burton指出,这种奇怪的行为可能是有意为之,但即使作为密码学家、情报人员和数据科学家,拥有丰富的经验,她也无法归结清楚具体的原因。如果有多个 DecoyDog参与者的理论属实,那么可能有两个参与者用新功能对其进行了改进。

根据 Burton 的说法,4个参与者中有一个拥有公共存储库中最先进的 DecoyDog 版本 ,其客户端连接到控制器 claudfront[.]net。该参与者中的另一个控制器为maxpatrol[.]net,但没有观察到连接行为,这可能与 Positive Technologies 的漏洞和合规管理系统类似。Positive Technologies 是一家俄罗斯网络安全公司,因贩卖国家支持的黑客组织使用的黑客工具和漏洞利用程序在 2021 年受到美国制裁。

Infoblox 指出,DecoyDog的新版本附带了域名生成算法 (DGA)充当紧急模块,如果恶意软件长时间无法与其 C2 服务器通信,则允许受感染的计算机使用第三方 DNS 服务器。从第三个版本开始,DecoyDog提供了广泛的持久性机制,表明其目的是以窃取情报为主,而非出于经济动机或者是红队工具。

DecoyDog尚存诸多疑点

目前,DecoyDog仍然比较神秘,需要进行额外的研究来确定目标、初始入侵方法(例如供应链、已知漏洞、目标设备中的零日漏洞)以及是如何进入网络的。

尽管 Infoblox 得到了信息安全社区(来自主要英特尔供应商、政府机构、威胁研究小组和金融组织)的支持,但该恶意软件的检测结果或其全部范围尚未公开披露。

Infoblox 建议防御者注意,Decoy Dog 和 Pupy 中的 IP 地址代表加密数据,而不是用于通信的真实地址,并关注 DNS 查询和响应,因为它们可以帮助跟踪恶意软件活动。

该公司还创建了一条 YARA 规则,可以检测研究人员自 7 月以来观察到的 DecoyDog 样本,并与公共版本的 Pupy进行区分。文章来源地址https://www.toymoban.com/news/detail-610239.html

到了这里,关于新型恶意软件DecoyDog正大规模入侵DNS的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 技术分享|终端安全防护|ChatGPT会创造出超级恶意软件吗?

    ChatGPT是一个强大的人工智能聊天机器人,它使用大量的数据收集和自然语言处理与用户“交谈”,感觉像是和正常的人类对话。它的易用性和相对较高的准确性让用户可以利用它做任何事情,从解决复杂的数学问题,到写论文,创建软件和编写代码,以及制作令人着迷的视觉

    2024年02月06日
    浏览(36)
  • 智安网络|恶意软件在网络安全中的危害与应对策略

    恶意软件是指一类具有恶意目的的软件程序,恶意软件是网络安全领域中的一个严重威胁,给个人用户、企业和整个网络生态带来巨大的危害。通过潜伏于合法软件、邮件附件、下载链接等途径传播,破坏用户计算机系统、窃取敏感信息、进行勒索等不法行为。恶意软件多种

    2024年02月13日
    浏览(51)
  • Hermit间谍软件“入侵”Android和iOS,你的手机还安全吗?

    根据谷歌威胁分析小组(TAG)(通过 TechCrunch )发布的研究,一个复杂的间谍软件活动正在获得互联网服务提供商(ISP)的帮助,以诱骗用户下载恶意应用程序。这证实了安全研究组织Lookout的早期发现,该组织将被称为Hermit的间谍软件与意大利间谍软件供应商RCS Labs联系起来

    2024年02月15日
    浏览(32)
  • [系统安全] 五十四.恶意软件分析 (6)PE文件解析及利用Python获取样本时间戳

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更

    2024年01月19日
    浏览(63)
  • [系统安全] 四十七.恶意软件分析 (3)动态分析经典沙箱Cape的安装和基础用法详解

    终于忙完初稿,开心地写一篇博客。 您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代

    2024年02月02日
    浏览(49)
  • [网络安全提高篇] 一二〇.恶意软件动态分析经典沙箱Cape批量提取动态API特征

    终于忙完初稿,开心地写一篇博客。 “网络安全提高班”新的100篇文章即将开启,包括Web渗透、内网渗透、靶场搭建、CVE复现、攻击溯源、实战及CTF总结,它将更加聚焦,更加深入,也是作者的慢慢成长史。换专业确实挺难的,Web渗透也是块硬骨头,但我也试试,看看自己未

    2023年04月11日
    浏览(45)
  • [网络安全提高篇] 一一九.恶意软件动态分析经典沙箱Cape的安装和基础用法详解

    终于忙完初稿,开心地写一篇博客。 “网络安全提高班”新的100篇文章即将开启,包括Web渗透、内网渗透、靶场搭建、CVE复现、攻击溯源、实战及CTF总结,它将更加聚焦,更加深入,也是作者的慢慢成长史。换专业确实挺难的,Web渗透也是块硬骨头,但我也试试,看看自己未

    2024年02月13日
    浏览(52)
  • [系统安全] 四十五.恶意软件分析 (1)静态分析Capa经典工具的基本用法万字详解

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更

    2023年04月16日
    浏览(47)
  • 屏蔽恶意域名的DNS查询

          因为有一些恶意域名, 已经在防火墙上做了封禁了, 但是如果收到中毒主机的请求, 还是要去做一次DNS查询, 因此被上级单位通告, 因此想把恶意域名的DNS查询封禁做到防火墙下联的AC上面, 一方面因为防火墙的策略优先级DNS代理比较靠后, 另一方面也是为了减小防火墙压力

    2024年02月09日
    浏览(37)
  • [系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解

    终于忙完初稿,开心地写一篇博客。 您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代

    2024年02月07日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包