Megpillant

Glimpse egy újonnan fel nem fedezett hacker eszköz, amelyről úgy gondolják, hogy az OilRig csoport létrehozása. Ez a hackerező csoport APT34 (Advanced Peristent Threat) néven is ismert, és Iránból származik. A rosszindulatú programok kutatói egy ideje ismerik az OilRig hackerek csoportját, és ismert, hogy magasan képzettek és nagyon fenyegetőek. A Glimpse rosszindulatú program nagyon érdekes módon épült fel. A Glimpse fenyegetése a szokásos, meglehetősen zajos FTP vagy HTTP kapcsolatok helyett a DNS protokollt használja. Annak ellenére, hogy ez jelentősen csökkenti a káros művelet zaját, van néhány jelentős negatív oldala is. A DNS-protokoll használata nagymértékben akadályozza a Glimpse-fenyegetés képességeit. Ennek oka az, hogy ez a módszer csak bizonyos karaktereket támogat, és korlátozott mennyiségű adatot továbbíthat, ami továbbadható, tehát hátrányosan érinti a rosszindulatú programokat.

A négy elsődleges rekordtípus

Négy fő rekord van, amelyeket a DNS-protokoll támogat:

• CNAME (Canonical Name) rekordok - Egy adott gazdanevet csatlakoztatnak a domainhez vagy az altartományhoz.
• TXT-rekordok - különféle szövegek tárolására szolgálnak, általában olyan domain információkkal, mint például cím, név, kapcsolattartó, stb., Vagy az ellenőrzésre vonatkozó adatokkal (például a Feladó házirend-keretrendszer adataival).
• A Records - Az alapvető rekordtípus, amely egy adott IP-cím egy tartományhoz vagy altartományhoz történő csatlakoztatására szolgál.
• MX (Mail Exchange) rekordok - ugyanazt a célt szolgálják, mint az A rekordok, de rendelkeznek egy „prioritási" funkcióval, amely meghatározza a másodlagos levélkiszolgálót abban az esetben, ha az elsődleges nem működik.

A kiberbiztonsági kutatók megállapították, hogy az OilRig hackeléscsoport eddig a TXT és az A rekord típusokat alkalmazta fenyegető kampányában, az A rekordok pedig prioritási módszerként szolgáltak. Az OilRig csoport egyedi módon készítette a TXT rekordok DNS-lekérdezéseit, de előre készített DNS-lekérdezéseket is használ az A rekordokhoz.

A DNS protokollt használó fenyegetés felépítése minden bizonnyal nem könnyű feladat, mivel az építészeknek nagyon kreatívnak és leleményesnek kell lenniük ahhoz, hogy korlátozott képességei ellenére funkcionális és káros veszélyt jelentsenek. Nem tárták fel, hogy az OilRig csoport miért használja a Glimpse rosszindulatú szoftvert, ám biztos lehet benne, hogy a jövőben továbbra is meghallgatjuk ezeket a fenyegető kampányokat.