DNSMessenger – Malware Fileless che usa le query DNS

Non passa giorno che i criminali informatici non diventino più abili, creativi e innovativi.
Un esempio è DNSMessenger.

DNSMessenger è un RAT ( remote access trojan ) che utilizza le query DNS ( Domain name server, ovvero il server che si occupa di convertire i nomi dei domini in indirizzi IP ) per condurre attacchi con comandi PowerShell su computer compromessi.
Questa tecnica rende il RAT quasi impossibile da identificare nei sistemi che ha infettato.

Un documento world dannoso e una backdoor PowerShell consentono al trojan di comunicare con il server pirata di comando, tramite richieste DNS. Nessun file viene scritto nel sistema, tutti i messaggi utilizzano DNS TXT record per leggere i comandi in remoto ed eseguirli tramite PowerShell in locale. Ecco come si presenta il documento ( almeno oggi )

Una volta aperto, il documento lancia Visual Basic, Applications Edition (VBA) per eseguire uno script PowerShell self-contained, nel tentativo di eseguire la backdoor sul sistema di destinazione.
Successivamente, lo script VBA decomprime una seconda fase compressa e sofisticata di PowerShell, che prevede il controllo di diversi parametri dell’ambiente di destinazione, come i privilegi dell’utente loggato e la versione di PowerShell installata sul sistema di destinazione.
Queste informazioni vengono poi utilizzate per garantire la persistenza sull’host infetto modificando il registro di Windows viene installato uno script PowerShell per la terza fase che contiene una semplice backdoor.
La backdoor viene aggiunta al database di Windows Management Instrumentation (WMI) per consentire al malware di tornare attivo a ogni riavvio.
La backdoor è uno script aggiuntivo che stabilisce un sofisticato canale di comunicazione a 2 vie nel Domain Name System (DNS) e utilizza nello specifico i record DNS TXT che, per definizione, consentono a un server DNS di allegare testo non formattato ad una risposta.
La backdoor invia periodicamente query DNS ad uno di una serie di domini hard-coded nel suo codice sorgente ( ovvero i server c&c degli hacker ). Come parte di tali richieste, recupera record TXT DNS del dominio, che contiene ulteriori comandi PowerShell che vengono eseguiti ma mai scritti nel sistema locale. Una volta eseguiti i comandi l’output viene inviato indietro tramite un’altra query DNS.


Un attacco sofisticato come questo era destinato a una ristretta cerchia di utenti, ma dimostra come, ad oggi, ci siano ancora interi canali di comunicazione sfruttabili e non controllati.

Alessandro Giacani

Alessandro Giacani

CEO @ Nukecommerce ltd, Full Stack Developer.
Scovo problemi complicati – fornisco soluzioni semplici.
Chatta con me question_answer