Una variante del malware DNSpionage sfrutta un nuovo modulo di ricognizione della Rete per scegliere selettivamente le vittime da colpire con attacchi di tipo DNS Hijacking, a dimostrazione di come gli aggressori diventano sempre più esigenti nella ricerca dei loro obiettivi.
Il Domain Name System (DNS), lo ricordiamo, è un servizio che permette agli utenti di inserire gli indirizzi Web sotto forma di nomi a dominio invece di dover digitare l’IP nella barra degli indirizzi del browser. L’accesso ai record DNS mediante attacchi di tipo DNS hijacking consente ai criminal hacker di dirottare le loro vittime verso la propria infrastruttura e comprometterle utilizzando malware o vari strumenti dannosi.
Individuate le loro vittime, i criminal hacker procedono ad infettarle utilizzando anche un nuovo malware chiamato Karkoff.
Basato su librerie .NET, il codice malevolo di Karkoff ha dimensioni contenute che lo rendono molto più “leggero” rispetto ad altri malware simili ed è progettato per consentire agli aggressori di eseguire codice in remoto su host compromessi e rimanere inosservati.
Indice degli argomenti
DNSpionage, il malware intelligente: i dettagli
Scoperti per la prima volta nel mese di novembre dello scorso anno dagli analisti di sicurezza Warren Mercer e Paul Rascagneres di Cisco Talos, gli attacchi DNSpionage utilizzano siti compromessi e documenti dannosi creati ad hoc per infettare i computer delle vittime con il malware DNSpionage che ha dato il nome alla campagna infettiva.
DNSpionage è un sofisticato strumento di amministrazione remota personalizzata che utilizza il protocollo HTTP e il servizio DNS per comunicare con il server di comando e controllo (C2) controllato dai criminal hacker.
DNSpionage: nuovi strumenti malevoli per migliorare gli attacchi
A differenza del passato, gli aggressori stanno ora adoperando nuove tattiche, tecniche e procedure per migliorare l’efficacia delle loro operazioni, rendendo gli attacchi più mirati, organizzati e sofisticati.
Oltre al malware DNSpionage, infatti, i criminal hacker utilizzano anche il tool Mimikatz per rubare credenziali di accesso ai sistemi compromessi, vari strumenti di amministrazione standard, il server WinSSH per creare una connessione protetta con il server di comando e controllo, una serie di strumenti di hacking open source e il programma Putty per il tunneling SSH.
Durante la fase di ricognizione gli aggressori raccolgono informazioni di sistema relative all’ambiente di lavoro, al sistema operativo, al dominio e all’elenco dei processi in corso sulla macchina delle vittime.
Come prima operazione malevola, DNSpionage scarica sul computer della vittima il file batch di Windows a.bat che consente agli aggressori di eseguire un comando WMI (Windows Management Instrumentation) per ottenere tutti i processi in esecuzione sul computer della vittima.
Questo, insieme ad una richiesta di API NetWkstaGetInfo(), permette di raccogliere informazioni dettagliate sull’ambiente di lavoro utili a ricostruire le “impronte digitali” della macchina compromessa.
In particolare, DNSpionage controllerà se sono installate le soluzioni antimalware di Avira e Avast e personalizzerà di conseguenza le sue azioni, disabilitando alcune sue opzioni di configurazione.
A questo punto, il computer della vittima viene infettato anche con il malware Karkoff che consente l’esecuzione di codice remoto dal server C2. I ricercatori di Cisco Talos hanno verificato che il codice malevolo di Karkoff non utilizza alcuna tecnica di offuscamento per cui può essere facilmente identificato dai vari tool antimalware.
Ciò che rende Karkoff un po’ speciale è la sua capacità di registrare tutti i comandi che esegue sui sistemi compromessi, allegando anche un timestamp a ciascuno di essi: un aiuto per le sue vittime, che in questo modo riescono ad individuare i danni inflitti al sistema e ad applicare le giuste contromisure per ripristinarne la corretta funzionalità.
DNSpionage e Karkoff sono inoltre accomunati dal fatto di utilizzare entrambi rimrun[.]com come server di comando e controllo.
I consigli per proteggersi da DNSpionage
Le nuove tattiche, tecniche e procedure utilizzate dai criminal hacker in questa nuova campagna malware DNSpionage rende più difficile individuare e contrastare la minaccia.
Oltre ad un efficiente strumento antimalware come Malwarebytes, è comunque utile adottare alcune semplici regole di sicurezza valide per proteggersi da attacchi di tipo DNS Hijacking:
- utilizzare il protocollo DNSSEC (Domain Name System Security Extensions) che consente di arginare gli attacchi di tipo cache poisoning utilizzati dai criminal hacker per manomettere il contenuto della memoria cache dei server DNS e fornire risposte modificate alle interrogazioni provenienti dai sistemi client;
- utilizzare funzioni di sicurezza come il blocco del registro di sistema e simili che possono proteggere i nomi di dominio da possibili modifiche;
- utilizzare le liste di controllo accessi per le applicazioni, il traffico Internet e il loro monitoraggio;
- utilizzare l’autenticazione a 2 fattori e richiedere che sia utilizzata da tutti gli utenti, anche quelli esterni che per qualunque motivo accedono alla rete e alle risorse aziendali;
- utilizzare password uniche e gestori di password;
- esaminare gli estratti conti aperti con le società che forniscono il servizio DNS e altri fornitori.
