Alfonso Maruccia

DNSMessenger, il malware che fa danni senza creare file

Un nuovo esemplare di codice malevolo abusa di uno degli elementi standard fondamentali di Internet per trasmettere dati e ricevere ordini da remoto. Una tecnica non nuova che sta tornando alla ribalta

Roma - Gli esperti del Gruppo Talos di Cisco hanno svelato l'esistenza di DNSMessenger, agente patogeno altamente sofisticato che sfrutta gli standard di rete e le shell di nuova generazione per bypassare i controlli di sicurezza. Il tutto, dicono i ricercatori, senza "toccare" il file system del disco di sistema se non per vie del tutto laterali.

DNSMessenger è un malware fileless, spiegano gli esperti: non scrive mai file fisici sul disco ma agisce in memoria ed è progettato per abusare di alcune delle caratteristiche meno note dei server del Domain Name System (DNS). Tutto parte da un file Word ricevuto dal bersaglio come allegato email: una volta aperto il documento, il malware manda in esecuzione una serie di script scritti per PowerShell.

La shell Microsoft di nuova generazione mette a disposizione un numero di strumenti di amministrazione e automazione molto potenti e DNSMessenger non è certo il primo malware pensato per abusare di queste nuove capacità. Lo script malevolo si accerta di avere a disposizione l'ambiente giusto, poi si assicura la permanenza al riavvio del sistema salvando un altro script in un flusso ADS (Alternate Data Stream) del file system NTFS o direttamente nel Registro di Windows.
Lo script principale del malware, che è in pratica dotato di configurazione multistrato, si occupa invece di istituire un canale di comunicazione bidirezionale attraverso il sistema DNS, un tipo di traffico che non viene generalmente classificato come potenzialmente pericoloso (diversamente da HTTP, HTTPS, SMTP/POP3 ecc.) ma che permette di inviare piccole query in standard testuale attraverso cui i cybercriminali possono agire da remoto.

Gli ignoti autori di DNSMessenger possono quindi inviare comandi da eseguire sul sistema infetto e ricevere l'output generato dalla loro azione, il tutto attraverso pacchetti di dati che nella stragrande maggioranza dei casi viaggerebbero "invisibili" a quasi ogni tipo di controllo di sicurezza hardware e software.

Un'operazione come quella di DNSMessenger evidenzia le capacità sempre più sofisticate a disposizione di hacker e cracker animati da intenti criminali o di puro e semplice spionaggio, avvertono gli esperti Cisco, ed è la riprova del fatto che tutto il traffico di rete va oramai considerato come potenzialmente malevolo e messo sotto stretta osservazione tramite meccanismi di controllo in tempo reale.

Alfonso Maruccia
Notizie collegate
94 Commenti alla Notizia DNSMessenger, il malware che fa danni senza creare file
Ordina
  • attenzione wifi e cellulare potrebbero provocare un tumore

    un documento ufficiale che arriva direttamente dalla IARC

    International Agency for Research on Cancer (IARC)

    http://www.iarc.fr/en/media-centre/pr/2011/pdfs/pr...

    Io non lo tengo più in tasca per evitare ogni problema con i testicoli e lo utilizzo solamente con gli auricolari, ho spento il wifi e utilizzo solo cavi

    meglio non mettersi in mano a spietati capitalisti
    non+autenticato
  • il tumore viene ai deboli ed è parte della selezione naturale, se viene a me non mi curo e me ne vado sereno da questo mondo di merda.
    non+autenticato
  • E a che servirebbe? E' pieno di pezzi di merda cento volte peggio di te che si curano e sopravvivono.
    non+autenticato
  • per quello che li usi è solo fatica sprecata

    - Scritto da: Aiuto
    > Io non lo tengo più in tasca per evitare ogni
    > problema con i testicoli
    non+autenticato
  • Io no sabe, no sabe nada. In lacrimeIn lacrimeIn lacrime
    non+autenticato
  • - Scritto da: rock n troll
    > per quello che li usi è solo fatica sprecata
    >
    > - Scritto da: Aiuto
    > > Io non lo tengo più in tasca per evitare ogni
    > > problema con i testicoli

    usarle o no crepi lo stesso

    se metti il cellulare nelle tasche posteriori ti viene un tumore al colon e crepi, se usi il taschino della giacca un tumore al seno e crepi io dove devo metterlo questo strumento demoniaco portatore di morte, solitudine e dipendenza?

    DOVE DEVO METTERLO??????????????????????????EH???????????????
    non+autenticato
  • Nel cesso e tirare lo sciacquone.
    non+autenticato
  • - Scritto da: ...
    > Nel cesso e tirare lo sciacquone.
    A questo punto ci metto anche te e panda e ho salvato l'umanità
    non+autenticato
  • Mettici tim cullo assieme agli schizzati della valle siliconata e forse la salvi per davvero.
    non+autenticato
  • Covert Channels and Poor Decisions: The Tale of DNSMessenger
    http://blog.talosintelligence.com/2017/03/dnsmesse...

    [...] While many organizations implement strict egress filtering as it pertains to web traffic, firewall rules, etc. many have less stringent controls in place to protect against DNS based threats. [...] an interesting malware sample that made use of DNS TXT record queries and responses to create a bidirectional Command and Control (C2) channel [...]

    La parolina magica qui è bidirectional: in un sistema configurato a dovere il flusso dati deve risultare mono-direzionale su tutte le porte (porta 53 compresa - TCP/UDP): si nega tutto e poi si generano specifiche, ben mirate regole outbound, mentre i permessi inbound dovrebbero essere, almeno quando possibile, esclusivamente di sessione (quindi temporanei, quali eccezioni alla regola di blocco generale).

    [...] opening the file and enabling macros [...]

    Una email con incluso allegato proveniente da fonte probabilmente farlocca targato McAfee che contiene delle macro che è necessario attivare per poter visualizzare il contenuto di un fantomatico documento inerente alla sicurezza? Sembra una barzelletta raccontata da un ubriaco al festival degli utonti...

    ...ma anche: un attacco fileless che usa un file spedito via email? ╚ uno scherzo, vero?...alla faccia del fileless (nr. 1).

    [...] direttamente nel Registro di Windows [...] ...alla faccia del fileless (nr. 2).

    Esecuzione arbitraria di PowerShell? in un sistema minimamente configurato lato sicurezza, PowerShell non può eseguire un bel ciufolo di niente, neppure sé stesso; né tramite exe (anche se certificato), né - a maggior ragione - tramite macro di un documento o tramite altro script/eseguibile...piccolo esempio pratico:

    c:\windows\explorer.exe Create new process
    c:\windows\system32\(...)\powershell.exe
    Action Denied [App] c:\windows\explorer.exe -> [Child App] c:\windows\(...)\powershell.exe
    Cmd line: "C:\WINDOWS\(...)\powershell.exe"


    ...ma già quando si arriva ad un log come quello qui sopra vuol dire che il sistema è stato in parte compromesso: un tentativo di violazione (quindi non riuscito) è già di per sé una violazione e significa che l'infrastruttura non è stata configurata adeguatamente (nel caso specifico - un esempio, ovviamente, si tratta dell'esecuzione diretta di PowerShell).

    [...] un flusso ADS (Alternate Data Stream) del file system NTFS [...]

    ...eh sì...gli ADS sono un problema...specie per quelli che non li conoscono o non li sanno gestire. Sul mio sistema, se si cerca di iniettare un flusso ADS via cmd.exe (anche con privilegi amministrativi) oppure tramite altro eseguibile/script:

    echo immissione stringa ADS - Prova 001 > TestFile.txt:ADS-test.txt

    ...ecco il risultato visibile via prompt:

    Microsoft Windows XP [Versione 5.1.2600]
    (C) Copyright 1985-2001 Microsoft Corp.

    c:\TEST>echo immissione stringa ADS - Prova 001 > TestFile.txt:ADS-test.txt

    Accesso negato.


    Qui il log di sicurezza relativo all'evento:

    Write file Denied
    Process: c:\windows\system32\cmd.exe
    Target: C:\TEST\TestFile.txt:ADS-test.txt
    [App] c:\windows\system32\cmd.exe -> [File] *:*


    E questo senza tenete conto di ulteriori possibili contro-misure come VM, virtualizzazione dell'OS e sandboxing: quest'ultima, in particolare, risolverebbe il problema alla radice visto che powershell non avrebbe i permessi di esecuzione nell'area ma - se anche fosse - le modifiche sul registro e gli eventuali ADS verrebbero incapsulati nella sandbox stessa.

    Come al solito il problema non è utilizzare utilizzare Windows o Linux ma farlo con competenze adeguate rispetto al sistema prescelto.
  • NOVANTADUE MINUTI DI APPLAUSI!
    non+autenticato
  • cavolo quante ne sai, mi eccito come una liceale arrapata a leggere i tuoi post!! godoooooooooo!!
    non+autenticato
  • Come si fa a non fare attivare powershell da quel malware?
    E a negare l'accesso come è scritto :

    "c:\TEST>echo immissione stringa ADS - Prova 001 > TestFile.txt:ADS-test.txt

    Accesso negato."
    -----------------------------------------------------------
    Modificato dall' autore il 07 marzo 2017 19.21
    -----------------------------------------------------------
    user_
    1073
  • - Scritto da: user_
    > Come si fa a non fare attivare powershell da quel
    > malware?

    Via GPO oppure tramite HIPS.

    > E a negare l'accesso come è scritto :
    >
    > "c:\TEST>echo immissione stringa ADS - Prova
    > 001 TestFile.txt:ADS-test.txt
    > Accesso negato."

    Tramite HIPS.
  • Bravo, ma rimane vergognoso il fatto che i segmenti ADS rimangano "invisibili" al sistema una volta scritti.
  • - Scritto da: Garson Pollo
    > Bravo, ma rimane vergognoso il fatto che i
    > segmenti ADS rimangano "invisibili" al sistema
    > una volta
    > scritti.
    vedi sopra: dir /R
    non+autenticato
  • E poi che è da vedere là una volta fatto "dir /R" ? se ci sono file gonfiati? ads adf ?
    -----------------------------------------------------------
    Modificato dall' autore il 08 marzo 2017 15.21
    -----------------------------------------------------------
    user_
    1073
  • - Scritto da: user_
    > E poi che è da vedere là una volta fatto "dir /R"
    > ? se ci sono file gonfiati? ads adf
    > ?
    RTFM?
    non+autenticato
  • manuale di che ? del dos?
    -----------------------------------------------------------
    Modificato dall' autore il 08 marzo 2017 18.16
    -----------------------------------------------------------
    user_
    1073
  • - Scritto da: user_
    > manuale di che ? del dos?
    della xboxA bocca aperta
    non+autenticato
  • il primo link porta ad un articolo di nome "11 Reasons Linux Sucks" che racconta di cose a caso senza senso scritto da un diversamente normodotato che usa osx

    il secondo invece racconta di 2 vulnerabilità patchate in meno di 8 ore

    sei sicuro di avere abbastanza competenza ed argomenti per parlare male di linux? scommetto che sei un applefan, ci ho preso?
    non+autenticato
  • - Scritto da: cosacosa
    > il primo link porta ad un articolo di nome "11
    > Reasons Linux Sucks" che racconta di cose a caso
    > senza senso scritto da un diversamente
    > normodotato che usa
    > osx
    >
    Che è il punto 11

    > il secondo invece racconta di 2 vulnerabilità
    > patchate in meno di 8 ore
    >

    Che dimostra che anche Linux tramite la famosissima suite Libreoffice è attaccabile.

    >
    > sei sicuro di avere abbastanza competenza ed
    > argomenti per parlare male di linux? scommetto
    > che sei un applefan, ci ho
    > preso?

    Uso linux da Debian Woody, a differenza di te mbutu qualunque.
    Oltre ad usare windows e OS X con profitto.

    Cocco.

    PS: prima di dare applefan a destra e a manca inizia a rispondere nei forum nei posti giusti. Cocco.
    maxsix
    10383
  • - Scritto da: maxsix
    > Che dimostra che anche Linux tramite la
    > famosissima suite Libreoffice è attaccabile.

    No.
    L'articolo di PI dimostra che Windows È attaccabile.
    L'articolo di Softpedia dimostra che Linux NON È (era) attaccabile.
    Se conosci qualche altra vulnerabilità (possibilmente aperta...) di LibreOffice per avere effetti simili a quelli descritti in questo articolo, posta pure.

    > Uso linux da Debian Woody, a differenza di te
    > mbutu qualunque.

    Ah sì sì, quella famosa Debian di cui hai ancora i CD... Quei famosi CD che sono anni che ti rifiuti di postare...Sorride
    Shiba
    4103
  • Per ora a tuo nome risulta verificabile solo qualche sito.
    Evito di linkare, ma lasciami dire niente di impressionante.

    Occhio che jquery bisogna aggiornarlo quando scoprono le vulnerabilità, perché okay il login ma se qualcuno ruba dei cookies di accesso e poi da dentro fa quello che gli pare sai... non è bello.
  • - Scritto da: maxsix

    > Uso linux da Debian Woody, a differenza di te
    > mbutu
    > qualunque.
    Da quando?
    Rotola dal ridereRotola dal ridereRotola dal ridere
    woody=19 luglio 2002
    Ma il tuo "uso linux since" in precedenti post dice date diverse....
    Capisco che si sparino balle ma a Azzano Decimo vi hanno mai detto che se non si sparano con coerenza poi la gente ti prende per i fondelli?
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Senti "alain delon de noantri" esci fuori e vatti a prendere un "caffettino" al "bar centrale" (praticamente subito fuori dalla porta della prestigiosa Rotola dal ridereRotola dal ridereRotola dal ridere ditta individuale price-list).... magari ti sveglia un pochino e perlomeno racconti balle più coerenti no?
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Poveri noi qua tra pavanelli e altri strani animali della provincia veneta ci capitano proprio quelli più tonti!
    Perplesso
    non+autenticato
  • Naturalmente, nessuno ha notato che l'articolo del primo link è il secondo di una serie. Nel primo, l'autore elenca 6 motivi per passare a Linux subito. Nel secondo... beh, nessuno ha trovato gli 11 motivi vagamente ironici, vedo.

    Il secondo link racconta di una vulnerabilità temporanea, risolta oltre un anno fa; quella di MS Office è lì da sempre, e pare destinata a restare.

    Per non parlare dei data stream...
  • Naturalmente, nessuno ha notato che l'articolo del primo link è il secondo di una serie. Nel primo, l'autore elenca 6 motivi per passare a Linux subito. Nel secondo... beh, nessuno ha trovato gli 11 motivi vagamente ironici, vedo.

    Il secondo link racconta di una vulnerabilità temporanea, risolta oltre un anno fa; quella di MS Office è lì da sempre, e pare destinata a restare.

    Per non parlare dei data stream...
  • - Scritto da: cosacosa
    > sei sicuro di avere abbastanza competenza ed
    > argomenti per ...

    Magari prima impara a quotare e rispondere senza aprire nuovi thread .... così .... "a cazzo".
  • La cosa più inquietante della notizia sono gli "Alternate Data Stream".

    Per chi non lo sapesse:

    http://www.html.it/articoli/alternate-data-streams.../


    "Windows non offre nessuno strumento per verificare la presenza di ADS nei file, per analizzarne il contenuto o per eliminarli. Questo comporta che risultino praticamente invisibili... ...è possibile avere un documento di dimensione apparentemente nulla che in realtà contiene uno stream alternativo di dimensioni pari a vari GByte."


    Per questo e tanti altri motivi il windows non lo tocco nemmeno con il bastone Anonimo.
    non+autenticato
  • - Scritto da: primizie da Redmond
    > La cosa più inquietante della notizia sono gli
    > "Alternate Data
    > Stream".
    >
    > Per chi non lo sapesse:
    >
    > http://www.html.it/articoli/alternate-data-streams
    >
    >
    > "Windows non offre nessuno strumento per
    > verificare la presenza di ADS nei file
    DIR /R troppo complicato neh?
    non+autenticato
  • e che ci mettiamo a usare un comando del dos per verificare i file?
    user_
    1073
  • - Scritto da: user_
    > e che ci mettiamo a usare un comando del dos per
    > verificare i
    > file?
    il prodotto Microsoft per te si chiama xbox...A bocca aperta
    non+autenticato
  • - Scritto da: Hopf
    > - Scritto da: user_
    > > e che ci mettiamo a usare un comando del dos
    > per
    > > verificare i
    > > file?
    > il prodotto Microsoft per te si chiama xbox...A bocca aperta

    ma allora non e' vero che "uindovs fa tutto da solo?"

    se dobbiamo usare il terminale, tanto vale passare a linux
    non+autenticato
  • La cosa divertente è che la perculata gliela da un utente windows Rotola dal ridere.
    non+autenticato
  • - Scritto da: linea di comando vade retro
    > La cosa divertente è che la perculata gliela da
    > un utente windows Rotola dal ridere.
    La cosa divertente è che se a uno serve windows perché su altri sistemi il sw che gli serve non gira, voi continuate a proporre feccia e non soluzioni
    non+autenticato
  • Chiedile a M$ le soluzioni COGLIONE, dopotutto PAGHI e anche salato. STRONZO!
    non+autenticato
  • Io no sabe, no sabe nada. In lacrime
    non+autenticato
  • - Scritto da: user_
    > ??????

    Quello che ti si dice da sempre: formattone e installa linux.
  • Hai rotto il casso! Con utenti del genere linuz diventa un windozze 2, che già tra una mbutu di qua e un systembin di là ci siamo quasi.
    non+autenticato
  • eh? o stai trollando o non hai la minima idea dell'argomento della discussione, della serie "ci sei o ci fai?"
    non+autenticato
  • Argomenta dai, non ti sgabbianizzare.
    non+autenticato
  • - Scritto da: ...
    > Argomenta dai, non ti sgabbianizzare.

    tipica trollata da troll
    non+autenticato
  • I tuoi invece sono contributi essenziali Cylon.
    non+autenticato
  • - Scritto da: cosacosa
    > eh?

    cosa ?

    > o stai trollando

    si

    > o non hai la minima idea
    > dell'argomento della discussione,

    si

    > della serie "ci sei

    si

    > o ci fai?"

    si

    e allora ?
    non+autenticato
  • Sei un povero testa di cazzo.
    non+autenticato
  • Non ti preoccupare è tutto sotto controllo.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)