Licenties voor meerdere apparaten (volumekortingen)
Threat Database Malware Glimp

Glimp

Tegen GoldSparrow in Malware
Vertalen naar:
Nederlands

Glimpse is een nieuw ontdekt hulpmiddel waarvan wordt aangenomen dat het de OilRig-groep is. Deze hackgroep is ook bekend als APT34 (Advanced Persistent Threat) en is afkomstig uit Iran. Malware-onderzoekers kennen de OilRig-hackgroep al een tijdje en staan bekend als zeer bekwaam en zeer bedreigend. De Glimpse-malware is op een zeer interessante manier gebouwd. De Glimpse-bedreiging gebruikt het DNS-protocol in plaats van de gebruikelijke, en nogal luidruchtige FTP- of HTTP-verbindingen. Ondanks dit aanzienlijk verminderen van het geluid van de schadelijke werking, heeft het echter ook enkele belangrijke negatieve kanten. Het gebruik van het DNS-protocol belemmert de mogelijkheden van de Glimpse-dreiging enorm. De reden hiervoor is dat deze methode alleen bepaalde tekens ondersteunt en een beperkte hoeveelheid gegevens heeft die kan worden overgedragen, waardoor de malware wordt gehandicapt.

De vier primaire recordtypen

Er zijn vier hoofdrecords, die worden ondersteund door het DNS-protocol:

  • CNAME- records (Canonical Name): ze verbinden een bepaalde hostnaam met het domein of subdomein.
  • TXT-records - Dienen om verschillende tekst op te slaan, meestal gekoppeld aan domeininformatie zoals adres, naam, contact, etc., of gegevens met betrekking tot verificatie (zoals de Sender Policy Framework-gegevens).
  • A Records - Het basisrecordtype, dat dient om een specifiek IP-adres te verbinden met een domein of subdomein.
  • MX (Mail Exchange) -records - Dien hetzelfde doel als A Records maar hebben een functie 'prioriteit', die een secundaire mailserver bepaalt voor het geval de primaire niet werkt.

Cybersecurity-onderzoekers hebben vastgesteld dat de OilRig-hackgroep tot nu toe het TXT-type en de A-recordtypen heeft gebruikt in hun dreigende campagne, waarbij de A Records als prioriteitstechniek dient. De OilRig-groep heeft de TXT-records DNS-query's op maat gemaakt, maar gebruikt ook vooraf gemaakte DNS-query's voor de A-records.

Het bouwen van een dreiging die gebruikmaakt van het DNS-protocol is zeker geen gemakkelijke taak, omdat de oplichters zeer creatief en inventief moeten zijn om ondanks hun beperkte mogelijkheden een functionele en schadelijke dreiging te vormen. Het is niet bekendgemaakt waarvoor de OilRig-groep de Glimpse-malware gebruikt, maar u kunt er zeker van zijn dat we deze dreigende campagnes in de toekomst zullen blijven horen.

Trending

Meest bekeken

Bezig met laden...