Glimpse

O Glimpse é uma ferramenta de hacking recém-descoberto que se acredita ser a criação do grupo Oilrig. Esse grupo de hackers também é conhecido como APT34 (Ameaça persistente avançada) e é originário do Irã. Os pesquisadores de malware estão familiarizados com o grupo de hackers OilRig há um tempo e são conhecidos por serem altamente qualificados e muito ameaçadores. O malware Glimpse é construído de uma maneira muito interessante. A ameaça Glimpse usa o protocolo DNS em vez de utilizar as conexões FTP ou HTTP usuais e bastante barulhentas. No entanto, apesar de reduzir significativamente o ruído da operação prejudicial, ela também possui alguns lados negativos significativos. O uso do protocolo DNS dificulta bastante os recursos da ameaça Glimpse. A razão por trás disso é que esse método suporta apenas determinados caracteres e possui uma quantidade limitada de dados que podem ser transferidos, prejudicando o malware.

Os Quatro Principais Tipos de Registros

Existem quatro registros principais, suportados pelo protocolo DNS:

• Registros CNAME (nome canônico) - Eles conectam um determinado nome de host ao domínio ou subdomínio.
• Registros TXT - servem para armazenar textos diferentes, geralmente vinculados a informações de domínio, como endereço, nome, contato etc. ou dados referentes à verificação (como os dados do Sender Policy Framework).
• Registros A - O tipo de registro básico, que serve para conectar um endereço IP específico a um domínio ou subdomínio.
• Registros MX (Mail Exchange) - atendem à mesma finalidade que os registros A, mas possuem um recurso de 'prioridade', que determina um servidor de correio secundário, caso o principal não esteja funcionando.

Os pesquisadores de segurança cibernética determinaram que o grupo de hackers OilRig até agora utilizou os tipos TXT e A em suas campanhas ameaçadoras, com os registros A servindo como técnica prioritária. O grupo OilRig criou as consultas DNS dos registros TXT, mas também usa consultas DNS pré-criadas para os registros A.

Construir uma ameaça que usa o protocolo DNS certamente não é uma tarefa fácil, pois os vigaristas precisam ser muito criativos e inventivos para criar uma ameaça funcional e prejudicial, apesar de suas habilidades limitadas. Não foi revelado para que o grupo OilRig está usando o malware Glimpse, mas tenha certeza de que continuaremos ouvindo sobre essas campanhas ameaçadoras no futuro.