一瞥

Glimpse是一个新发现的黑客工具,被认为是OilRig组的创建。该黑客组织也被称为APT34 (高级持久威胁),起源于伊朗。恶意软件研究人员熟悉OilRig黑客组织已有一段时间了,并且众所周知,他们技能高超,威胁很大。 Glimpse恶意软件以一种非常有趣的方式构建。 Glimpse威胁使用DNS协议,而不是使用通常的,嘈杂的FTP或HTTP连接。然而,尽管这大大降低了有害操作的噪音,但它也有一些明显的负面影响。 DNS协议的使用极大地阻碍了Glimpse威胁的功能。其背后的原因是该方法仅支持某些字符,并且可以传输的数据量有限,因此妨碍了该恶意软件。

四种主要记录类型

DNS协议支持四个主要记录:

  • CNAME (规范名称)记录–它们将某个主机名连接到域或子域。
  • TXT记录 –用于存储不同的文本,通常链接到域信息(例如地址,姓名,联系方式等)或与验证有关的数据(例如发件人策略框架数据)。
  • A记录 –基本记录类型,用于将特定IP地址连接到域或子域。
  • MX(邮件交换)记录 –与A记录具有相同的用途,但具有"优先级"功能,该功能确定辅助邮件服务器,以防主要邮件服务器不工作。

网络安全研究人员确定,到目前为止,OilRig黑客组织已在其威胁活动中利用TXT类型和A记录类型,其中A记录是优先技术。 OilRig小组已定制了TXT记录DNS查询,但也对A记录使用了预制的DNS查询。

建立使用DNS协议的威胁当然不是一件容易的事,因为骗子尽管能力有限,但仍需要非常有创造力和创造力才能制造出功能强大且有害的威胁。尚未透露OilRig小组正在使用Glimpse恶意软件做什么,但请放心,我们将来会继续听到有关这些威胁性活动的消息。

趋势

最受关注

正在加载...