Glimpse

glimt er en nylig oppdaget hacking verktøy som antas å være etableringen av oilrig gruppe. Denne hackinggruppen er også kjent som APT34 (Advanced Persistent Threat) og stammer fra Iran. Malware-forskere har vært kjent med OilRig-hacking-gruppen en stund, og de er kjent for å være svært dyktige og veldig truende. Glimpse malware er bygget på en veldig interessant måte. Glimpse-trusselen bruker DNS-protokollen i stedet for å bruke de vanlige, og heller støyende FTP- eller HTTP-tilkoblingene. Til tross for at dette reduserer støyen fra den skadelige operasjonen betydelig, har den imidlertid noen betydelige negative sider. Bruken av DNS-protokollen hindrer mulighetene til Glimpse-trusselen sterkt. Årsaken bak dette er at denne metoden bare støtter visse tegn og har en begrenset mengde data som kan overføres, og derfor handikap skadelig programvare.

De fire primære posttyper

Det er fire hovedposter som støttes av DNS-protokollen:

• CNAME (Canonical Name) Records - De kobler et bestemt vertsnavn til domenet eller underdomenet.
• TXT-poster - Server for å lagre annen tekst, vanligvis koblet til domeneinformasjon slik som adresse, navn, kontakt osv., Eller data angående bekreftelse (som data om avsenderpolitisk rammeverk).
• A poster - Den grunnleggende posttypen, som tjener til å koble en spesifikk IP-adresse til et domene eller underdomenet.
• MX (Mail Exchange) -poster - Server samme formål som A-poster, men har en "prioritets" -funksjon, som bestemmer en sekundær postserver i tilfelle den primære ikke fungerer.

Cybersecurity-forskere har bestemt at OilRig-hacking-gruppen så langt har benyttet seg av TXT-typen og A-posttypene i sin truende kampanje, med A Records som en prioritert teknikk. OilRig-gruppen har spesiallagde TXT-poster DNS-spørringer, men bruker også ferdiglagde DNS-spørsmål for A-postene.

Å bygge en trussel som bruker DNS-protokollen er absolutt ikke en lett oppgave, da kunstnerne trenger å være veldig kreative og oppfinnsomme for å utgjøre en funksjonell og skadelig trussel til tross for dens begrensede evner. Det er ikke avslørt hva OilRig-gruppen bruker Glimpse-malware for, men kan være trygg på at vi fortsetter å høre om disse truende kampanjene i fremtiden.