域名系统 (DNS) 是一种分层的去中心化命名系统,用于互联网上或私有网络中连接的众多网络设备。其主要功能是将用户友好的域名(例如
)转换为设备在网络上相互识别时使用的数字 IP 地址。
当在网页浏览器中输入域名时,计算机首先会检查本地缓存,以确定是否已经知道相应的 IP 地址。如果本地没有找到 IP 地址,计算机会查询 DNS解析器。该解析器可以是互联网服务提供商 (ISP) 或第三方服务(如 Google 的 8.8.8.8)。然后,解析器会检查其缓存。如果没有找到 IP地址,它会作为客户端查询根 DNS 服务器(在递归解析器的情况下)。
然而,和基本上任何技术一样,该系统也可能成为恶意行为者的目标。让我们看看 Avast 如何保护用户免受各种 DNS 威胁,并展示一些臭名昭著的恶意软件家族。
DNS 威胁的工作原理
威胁行为者可以利用 DNS 进行攻击的方式有很多。本文无法详细描述所有现有的技术,但是我们将提供对 DNS威胁环境的简要介绍,以便读者了解这些攻击是如何工作的以及为什么威胁行为者会对这些攻击向量感兴趣。
恶意 DNS 服务器 是由威胁行为者专门设置的,用于截取和操控 DNS 查询。当设备查询 DNS 时,恶意 DNS 服务器可以返回不正确或恶意的 IP地址,从而将合法流量重定向到恶意目的地。
DNS 隧道 是一种技术,攻击者利用 DNS 协议来封装非 DNS流量。这种通信可以是双向的,意味着请求和响应都可以被封装。此类通信通常用于(但不限于)与指挥与控制 (C2)
服务器交换恶意软件指令,和/或从受害者那里提取数据。
DNS 缓存投毒,也称为 DNS 欺骗,是一种技术,攻击者操控解析器的 DNS 缓存,建立域名和 IP 地址之间的错误映射。通过将虚假的 DNS记录注入缓存,攻击者通常会将用户重定向到恶意网站,从而拦截敏感信息。凭借这项能力,他们可以执行中间人 (MitM)
攻击。该技术特别危险,因为在成功的欺骗发生时,域名对用户而言看起来是合法的——与用户习惯的域名相同——但指向不同的服务器,使用不同的 IP 地址。
DNS 快速变换 是基于快速和定期更改 DNS 记录中某个域名的 IP地址,从而使追踪和阻止攻击者基础设施变得更加困难。通常,攻击者要么拥有一组被攻陷的服务器或僵尸网络可供使用,要么采用特定方法来更改 IP地址,其行为类似于更传统的域名生成算法 (DGA)。
攻击者为什么这样做?
攻击者进行这种类型攻击的原因根据其技术以及意图有所不同。然而,我们可以将恶意目的归纳为以下几点:
- 恶意软件可以 接收命令和指令 ,实现双向通信
- 威胁行为者可以 部署额外的负载 到感染设备上
- 信息窃取者可以 提取敏感数据 从受感染设备中
- 通信更加 模糊 ,使其更难以被有效追踪
- 通信通常是 默认启用 的,因为流量在常见的 53 端口上运行
- 由于可能缺乏监控和扫描,流量可能 绕过传统的防病毒软件和网关
真实世界中的威胁
利用 DNS 进行恶意活动的恶意软件家族数量在不断增加。我们在 Avast 不断跟进当前趋势,并通过我们的 DNS扫描功能为用户提供强大的保护,免受这些攻击。
让我们深入了解一些利用 DNS 分发额外负载并模糊与指挥与控制 (C2) 服务器通信的高级恶意软件家族。
ViperSoftX
是一种长期存在的信息窃取者。早在 2020年,它通常与来自非官方来源的软件和破解程序捆绑在一起,通常通过种子文件分发。它的广泛功能至今仍在不断开发和改进,范围涵盖从窃取加密货币、剪贴板交换、指纹识别感染设备、下载和执行额外负载,到进一步部署一种名为
的恶意浏览器扩展。
该恶意软件的作者还实现了一项功能,即查询 DNS 数据库,以从注册的 C2 域名获取 TXT 响应。这个 TXT
记录包含了下载进一步恶意软件阶段的执行命令。我们可以通过在恶意域名上使用 nslookup 来展示这一行为。
该命令以 DNS TXT 响应的形式返回,从 microsoft-analyse[.]com 下载额外负载。文件 last.txt
包含一段模糊化的 PowerShell 脚本,执行时会携带进一步的恶意软件阶段。
DarkGate
另一个高级信息窃取者是 ,也被称为 和 。如今,该窃取者被武器化为恶意软件即服务
(MaaS),并继续为其操作添加新功能。
除了键盘记录、窃取剪贴板内容和加密货币钱包,以及 RAT 功能之外,DarkGate 还可以发起 DNS 请求以查询 DNS TXT 响应。
目前,其一种分发方法始于网络钓鱼(例如,以 PDF 形式呈现),文档显示无法正确加载,用户需要点击“打开此文档”按钮。此操作会下载一个 ZIP压缩文件,包含一个 LNK 文件,其图标为 PDF(Adobe Reader)。但是,打开此 LNK 文件后,恶意软件将执行一个命令,发起 DNS请求,读取响应中的 TXT 字段。
在下载并执行 Taste.cmd 脚本后,进一步的一系列命令被执行,从而在感染的机器上部署 DarkGate 信息窃取者。
DirtyMoe
自 2016 年以来,臭名昭著的
恶意软件不断感染全球各地的受害者,主要集中在亚洲和非洲。这种多模块后门具有多种功能,从利用网络协议、加密劫持、执行 DDoS 攻击、利用 rootkit能力等。
这也进一步凸显了 DirtyMoe 的复杂网络通信。该恶意软件使用预定义的 DNS 服务器发起 DNS 查询,并在 A 记录字段中检索单个域名的一系列 IP地址。然而,尽管这些 IP 地址在语义上是正确的,但它们是虚假的,可能不存在,或不是恶意软件想要的实际地址。真实的 IP 地址是通过额外算法从这些 A记录中推导得出的。每个推导出的 IP 地址都将被尝试,其中一个为真实的 C2 服务器。
最后,A 记录列表也会快速和定期地更改。这种 DNS 快速变换 技术使得真实的 C2服务器与虚假地址之间的界限更加模糊,使得整个恶意软件通信对防御者而言更加隐秘。
在下面的示例中,恶意服务器 rpc[.]1qw[.]us 提供了一系列 IP 地址 (A 记录)。然而,这些 IP地址是虚伪的,用于进一步推导真实的 IP 地址。
Crackonosh
与 ViperSoftX 类似, 随非法破解的软件捆绑分发。如果毫无戒心的受害者安装了此类破解软件,他们便会不知不觉中在其系统上部署一款名为 XMRig的加密矿工,利用其资源为攻击者获利。
Crackonosh 包含许多先进的技术,比如禁用防病毒软件和 Windows 更新,以及实施其他反检测和反取证的措施。
此外,Crackonosh 还会查询 DNS 数据库作为其更新机制的一部分。为此,Crackonosh 从注册服务器的响应中读取一个 TXT
记录,该记录包含像 ajdbficadbbfC@@@FEpHw7Hn33 这样的字符串。然后解析这一字符串,推导出 IP地址和端口。凭借这些信息,Crackonosh 下载了一个名为 wksprtcli.dll 的文件,包含恶意软件的更新例程。
Avast 的 DNS 保护
在 Avast,我们的免费和付费版本都可以保护用户免受基于 DNS 的威胁。这种保护自 23.8 版本以来一直可用,包括:
- 支持通过 TXT 记录检测 C2 回调、数据外泄和负载传递
- 支持通过恶意 NS 服务器检测 DNS C2 隧道
- 扫描器支持对 A、AAAA、PTR、NX、TXT DNS 记录的双向扫描
我们的付费计划还包含一项名为 的附加功能,提供浏览器与 Avast 自有 DNS 服务器之间的加密连接,以防止劫持。换句话说,Real Site确保显示的网站是正版网站。
结论
了解 DNS 威胁对防御者至关重要。我们描述了威胁行为者如何利用 DNS进行特定攻击。我们还提供了利用这些技术的高级恶意软件家族的示例,这些示例会分发额外的恶意软件负载、模糊通信、通过网络隧道传送其 C2 命令等。凭借
Avast 的 DNS 扫描能力,我们能够保护用户免受这些类型的威胁。
