De Talos-onderzoeksafdeling van het Amerikaanse Cisco heeft malware onderzocht die via DNS communiceert. De DNS messenger-Trojan kan PowerShell-scripts opvragen uit het txt-record zodat er geen detectie plaatsvindt.
Volgens de onderzoekers communiceert de Trojan zo met de C2-server van de kwaadwillenden. De malware is bijzonder, omdat hij uitzonderlijke stappen neemt om onzichtbaar te blijven. De Trojan vermenigvuldigt zich via een besmet Word-document.
Backdoor
Het geïnfecteerde document lijkt veilig te zijn vanwege de software van McAfee. Het bestand kan onder andere door een phishing-e-mail gericht naar een slachtoffer worden verzonden. De malware werkt met PowerShell om een achterdeur in het systeem van een gebruiker te maken. Daarvoor controleert de malafide software of er beheerderstoegang is en welke versie van PowerShell gebruikt wordt.
Filters voor DNS
Vervolgens gebruikt de DNS messenger-Trojan een voorgeprogrammeerde domeinnaam voor DNS-verzoeken. Door de txt-record op te halen, kunnen kwaadwillenden de Trojan van verschillende commando’s voorzien. De PowerShell-commando’s in de txt-records laten de cybercrimineel zo Windows-functies op het geïnfecteerde systeem uitvoeren. Ook kan de gegenereerde output van applicaties weer teruggezonden worden met een DNS-verzoek. De onderzoekers zijn van mening dat zo’n aanval moeilijk is te signaleren: organisaties gebruiken meestal geen filters voor DNS.