一瞥

Glimpse是一個新發現的黑客工具,被認為是OilRig組的創建。該黑客組織也被稱為APT34 (高級持久威脅),起源於伊朗。惡意軟件研究人員熟悉OilRig黑客組織已有一段時間了,並且眾所周知,他們技能高超,威脅很大。 Glimpse惡意軟件以一種非常有趣的方式構建。 Glimpse威脅使用DNS協議,而不是使用通常的,嘈雜的FTP或HTTP連接。然而,儘管這大大降低了有害操作的噪音,但它也有一些明顯的負面影響。 DNS協議的使用極大地阻礙了Glimpse威脅的功能。其背後的原因是該方法僅支持某些字符,並且可以傳輸的數據量有限,因此妨礙了惡意軟件的使用。

四種主要記錄類型

DNS協議支持四個主要記錄:

  • CNAME (規範名稱)記錄–它們將某個主機名連接到域或子域。
  • TXT記錄 –用於存儲不同的文本,通常鏈接到域信息(例如地址,姓名,聯繫方式等)或與驗證有關的數據(例如發件人策略框架數據)。
  • A記錄 –基本記錄類型,用於將特定IP地址連接到域或子域。
  • MX(郵件交換)記錄 –與A記錄具有相同的用途,但具有"優先級"功能,該功能確定輔助郵件服務器,以防主要郵件服務器不工作。

網絡安全研究人員確定,到目前為止,OilRig黑客組織已在其威脅活動中利用TXT類型和A記錄類型,其中A記錄是優先技術。 OilRig小組已自定義了TXT記錄DNS查詢,但也對A記錄使用了預先創建的DNS查詢。

建立使用DNS協議的威脅當然不是一件容易的事,因為騙子儘管能力有限,但仍需要非常有創造力和創造力才能製造出功能強大且有害的威脅。尚未透露OilRig小組正在使用Glimpse惡意軟件做什麼,但請放心,我們將來會繼續聽到有關這些威脅性活動的消息。

熱門

最受關注

加載中...