Gli esperti del Gruppo Talos di Cisco hanno svelato l’esistenza di DNSMessenger, agente patogeno altamente sofisticato che sfrutta gli standard di rete e le shell di nuova generazione per bypassare i controlli di sicurezza. Il tutto, dicono i ricercatori, senza “toccare” il file system del disco di sistema se non per vie del tutto laterali.
DNSMessenger è un malware fileless , spiegano gli esperti: non scrive mai file fisici sul disco ma agisce in memoria ed è progettato per abusare di alcune delle caratteristiche meno note dei server del Domain Name System (DNS). Tutto parte da un file Word ricevuto dal bersaglio come allegato email: una volta aperto il documento, il malware manda in esecuzione una serie di script scritti per PowerShell .
La shell Microsoft di nuova generazione mette a disposizione un numero di strumenti di amministrazione e automazione molto potenti e DNSMessenger non è certo il primo malware pensato per abusare di queste nuove capacità. Lo script malevolo si accerta di avere a disposizione l’ambiente giusto, poi si assicura la permanenza al riavvio del sistema salvando un altro script in un flusso ADS (Alternate Data Stream) del file system NTFS o direttamente nel Registro di Windows.
Lo script principale del malware, che è in pratica dotato di configurazione multistrato, si occupa invece di istituire un canale di comunicazione bidirezionale attraverso il sistema DNS, un tipo di traffico che non viene generalmente classificato come potenzialmente pericoloso (diversamente da HTTP, HTTPS, SMTP/POP3 ecc.) ma che permette di inviare piccole query in standard testuale attraverso cui i cybercriminali possono agire da remoto.
Gli ignoti autori di DNSMessenger possono quindi inviare comandi da eseguire sul sistema infetto e ricevere l’output generato dalla loro azione, il tutto attraverso pacchetti di dati che nella stragrande maggioranza dei casi viaggerebbero “invisibili” a quasi ogni tipo di controllo di sicurezza hardware e software.
Un’operazione come quella di DNSMessenger evidenzia le capacità sempre più sofisticate a disposizione di hacker e cracker animati da intenti criminali o di puro e semplice spionaggio, avvertono gli esperti Cisco, ed è la riprova del fatto che tutto il traffico di rete va oramai considerato come potenzialmente malevolo e messo sotto stretta osservazione tramite meccanismi di controllo in tempo reale.
Alfonso Maruccia