DNSMessenger-Trojaner nutzt DNS-Einträge für Befehle

Publiziert am 5. März 2017 von Günter Born

Sicherheitsforscher haben einen sogenannten file less und in PowerShell geschriebenen Trojaner aufgespürt, der seine Befehle über DNS-Records bezieht.

Anzeige

Blog-Leser Leon hat mich auf diesen Artikel zum Thema aufmerksam gemacht (danke dafür). Entdeckt wurde der Trojaner, der auf DNSMessenger getauft wurde, vom Cisco Talos-Team und in diesem Blog-Beitrag beschrieben. Der Angriff erfolgt über eine infizierte Microsoft Word-Datei, die als E-Mail-Anhang in Phishing-Kampagnen ausgesandt wird.


(Quelle: Cisco/Talos)

Beim Öffnen erscheint die obige Meldung, die auf ein per McAfee geschütztes Dokument hindeutet und zum Freigeben der Anzeige auffordert. Wählt der Benutzer diesen Link an, wird der Schadcode innerhalb der Word-Datei ausgeführt. Der Schadcode ist ein in PowerShell geschriebenes Script, welches dann sein Werk verrichtet.

An dieser Stelle muss ich aber ein Fragezeichen machen. Aktuell ist mir unklar, wie ein PowerShell Script in einem Word-Dokument eingebunden und zur Ausführung gebracht werden kann (möglicherweise per VBA-Makro). Zweites Problem: PowerShell ist zwar auf Windows-Systemen vorhanden, aber die Ausführung von PowerShell-Scripten ist standardmäßig deaktiviert (siehe PowerShell-Skripte lassen sich nicht ausführen). Nur Benutzer, die die PowerShell-Scriptausführung zugelassen haben, dürften daher betroffen sein.

Das PowerShell-Script des Trojaners wird dann komplett im Speicher geladen und ausgeführt – es gibt also keine Dateien mit dem Schadcode auf der Festplatte (file less malware). Die Malware prüft per PowerShell die Umgebung, wie beispielsweise die Privilegien, die der angemeldete Benutzer unter seinem Benutzerkonto besitzt. Abhängig von dieser Prüfung werden dann die nächsten Schritt geplant.

  • Es wird ein zweites PowerShell-Script entweder im Alternate Data Stream (ADS) des NTFS-Dateisystems oder direkt in der Registrierung abgelegt.
  • Dann wird ein drittes PowerShell-Script, welches obfuscated (verschlüsselt) ist, aufgerufen. Dieses richtet einen Kommunikationskanal über das Domain Name System (DNS) ein.

DNS wird normalerweise zur Zuordnung von URLs zu IP-Adressen verwendet. Aber das Protokoll unterstützt zwei verschiedenen Datenformate. Im TXT-Record kann ein DNS-Server unformatierten Text als Antwort übermitteln. Und genau über diesen Kanal schicken die Angreifer offenbar Befehle an den Trojaner, die dieser dann ausführen kann.

Die Angriffsmethode ist recht trickreich, da keine Dateien auf der Festplatte gespeichert werden und die DNS-Datenpakete in der Regel nicht gefiltert und auf Malware untersucht werden. So bleibt der DNS-Datenverkehr in der Regel unverändert, was die Angreifer wissen und für eigene Zwecke nutzen. Im konkreten Fall werden Befehle an die Malware übertragen und dann Daten abgerufen. Weitere Details lassen sich im Talos-Blog-Post nachlesen.

Ähnliche Artikel:
PowerShell-Skripte lassen sich nicht ausführen
Windows PowerShell als Einfallstor für Malware
PowerShell als Einfallstor für Malware/Ransomware
Gotcha, the Windows 10 PowerShell-Bug in KB3176934
Malware Trojan.DNSChanger umgeht Powershell-Restrictionen
PowerShell 5: Aus für Windows 7/8.1?

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.