帕洛阿尔托网络安全公司(Palo Alto Networks )近日报告了一个APT 网络威胁小组Wekby所使用的恶意软件技术方面的新转变,他们又增加了一个不常见但很有效的新工具 。该安全公司于本周二的报道说,在过去的一周,Wekby攻击者正在研究DNS隧道技术来替代较为传统的HTTP传输技术,用于感染计算机的命令和控制(C&C),从而控制计算机网络的远程访问功能 。

在监控一个总部位于美国的秘密高科技公司时,研究人员同时监测到这个团伙有针对性地改变他们的策略。帕洛阿尔托网络公司的工作人员调用了DNS隧道恶意软件pisloader,添加它也有一段时间了,但很少使用它。据帕洛阿尔托网络第42队的研究员瑞安奥尔森所说,基于DNS攻击的作用不同于Wekby的恶意软件HTTPBrowser,该软件仍然被黑客组织广泛使用。

奥尔森还说道:“我们发现这真的很有趣,这个pisloader恶意软件技术不仅可以用来数据渗透,也可以作为一个指令与控制机制。”该恶意软件并不常见,所以它的攻击用例非常有限,它需要使用者具有复杂配置等技术和能力。由帕洛阿尔托网络所列出的Wekby攻击的域包括globalprint-us[.]com, ns1.logitech-usa[.]com ,和intranetwabcam[.]com。

DNS隧道技术利用了顶级和二级域名系统服务器所使用的DNS协议中的TXT传输层的优势。不超过255个字节的数据可以通过DNS请求在端与端之间被传输,其中涉及到使用了TXT层的DNS服务器。对于已经攻破目标系统来立足的Wekby攻击者来说,使用DNS隧道的指令和DNS隧道来移除数据的过程极其缓慢,但这非常适合长期的APT活动。

在pisloader例子中,攻击者使用他们自己的DNS服务器来控制 C2命令的发送和接收,从而感染计算机。在被感染的客户机之间的发送和响应是嵌入在TXT层中的,Wekby的DNS服务器之间有五个指令的集合,包括:收集目标机器上的系统信息,列出目标机器上的驱动,提供目录列表文件的信息,将文件上传到目标计算机,以及生成一个命令shell。

为了混淆这些命令,Wekby攻击者在DNS 的TXT层使用base32编码,使DNS TXT看上去只是DNS元数据的垃圾字符串。

考虑到攻击者,奥尔森说,DNS隧道是一个双刃剑 。他说: “Pisloader其实是非常难发现的,如果你不是在专门搜索它。由于255个字节的限制,攻击者要想上传所有的消息可能需要几天到几个星期的时间,还不能失误而引起安全部门的警惕。但因为pisloader能够绕开众多的安全产品,使它们无法正确检查DNS流量,攻击者愿意牺牲速度而达到隐身的目的。出于这些原因,使用pisloader的黑客还是极为罕见的,即使在Wekby团伙事实上,使用DNS的C2方案从未广泛地在APT团伙之间流行过。奥尔森说,也有极少数的恶意软件有着DNS隧道的属性,这样的例子有FrameworkPOS,C3PRO-RACCOON和FeederBot。

据帕洛阿尔托网络的研究人员说,很容易将pisloader恶意软件联系到Wekby,这是因为pisloader有许多特征与HTTPBrowser RAT家族相似,而HTTPBrowser RAT是Wekby常用的。他们表示,该Wekby APT黑客团伙一直很活跃,基本上他们把目标锁定在美国的医疗保健,电信,航空航天,国防和高科技公司。

根据帕洛阿尔托网络针对pisloader的报告,该黑客小组会充分利用最近发布的漏洞,比如HackingTeam所使用的Flash零日漏洞。帕洛阿尔托网络公司表示,Wekby黑客组织还经常利用零日的Adobe Flash漏洞(CVE-2015-5119)进行网络钓鱼活动 。这也就是说,研究人员还不能肯定Wekby攻击者攻击高科技公司的过程中仅仅使用了这一个漏洞。