Ματιά

είναι ένα πρόσφατα αποκαλυφθέν εργαλείο hacking που πιστεύεται ότι είναι η δημιουργία του ομίλου OilRig. Αυτή η ομάδα hacking είναι επίσης γνωστή ως APT34 (Advanced Persistent Threat) και προέρχεται από το Ιράν. Οι ερευνητές κακόβουλου λογισμικού έχουν εξοικειωθεί με την ομάδα hacking OilRig για λίγο και είναι γνωστό ότι είναι πολύ εξειδικευμένοι και πολύ απειλητικοί. Το malware Glimpse είναι χτισμένο με πολύ ενδιαφέρον τρόπο. Η απειλή Glimpse χρησιμοποιεί το πρωτόκολλο DNS αντί να χρησιμοποιεί τις συνηθισμένες και μάλλον θορυβώδεις συνδέσεις FTP ή HTTP. Ωστόσο, παρά τη σημαντική μείωση του θορύβου της επιβλαβούς λειτουργίας, έχει και κάποιες σημαντικές αρνητικές πλευρές. Η χρήση του πρωτοκόλλου DNS εμποδίζει τις δυνατότητες της απειλής Glimpse σε μεγάλο βαθμό. Ο λόγος πίσω από αυτό είναι ότι αυτή η μέθοδος υποστηρίζει μόνο ορισμένους χαρακτήρες και έχει μια περιορισμένη ποσότητα δεδομένων που μπορούν να μεταφερθούν, με αποτέλεσμα να μειωθούν τα κακόβουλα προγράμματα.

Οι τέσσερις τύποι κύριας εγγραφής

Υπάρχουν τέσσερα κύρια αρχεία, τα οποία υποστηρίζονται από το πρωτόκολλο DNS:

  • Εγγραφές CNAME (Canonical Name) - Συνδέουν ένα συγκεκριμένο όνομα κεντρικού υπολογιστή στον τομέα ή τον υποτομέα.
  • TXT Records - Σερβίρετε για να αποθηκεύσετε διαφορετικό κείμενο, συνήθως συνδεδεμένο με πληροφορίες τομέα, όπως διεύθυνση, όνομα, επαφή κλπ. Ή δεδομένα σχετικά με την επαλήθευση (όπως τα δεδομένα του πλαισίου πολιτικής αποστολέων).
  • A Records - Ο βασικός τύπος εγγραφής, ο οποίος χρησιμεύει για τη σύνδεση μιας συγκεκριμένης διεύθυνσης IP σε έναν τομέα ή έναν υποτομέα.
  • Μητρώα MX (Mail Exchange) - Σερβίρετε τον ίδιο σκοπό με το A Records αλλά διαθέτει μια λειτουργία 'προτεραιότητας', η οποία καθορίζει έναν δευτερεύοντα διακομιστή αλληλογραφίας σε περίπτωση που η κύρια δεν λειτουργεί.

Οι ερευνητές του Cybersecurity έχουν διαπιστώσει ότι η ομάδα hacking OilRig έχει χρησιμοποιήσει μέχρι στιγμής τον τύπο TXT και τους τύπους εγγραφών A στην απειλητική εκστρατεία τους, με την A Records να αποτελεί τεχνική προτεραιότητας. Η ομάδα OilRig διαθέτει προσαρμοσμένες ερωτήσεις DNS για εγγραφές TXT, αλλά χρησιμοποιεί επίσης προκαθορισμένα ερωτήματα DNS για τις εγγραφές Α.

Η οικοδόμηση μιας απειλής που χρησιμοποιεί το πρωτόκολλο DNS δεν είναι σίγουρα εύκολη υπόθεση καθώς οι απατεώνες πρέπει να είναι πολύ δημιουργικοί και εφευρετικοί για να κάνουν μια λειτουργική και επιβλαβή απειλή παρά τις περιορισμένες δυνατότητές της. Δεν έχει αποκαλυφθεί τι χρησιμοποιεί ο όμιλος OilRig το κακόβουλο λογισμικό Glimpse, αλλά βεβαιωθείτε ότι θα συνεχίσουμε να ακούμε για αυτές τις απειλητικές εκστρατείες στο μέλλον.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...