Киберпреступники используют DNS для управления зловредами

Исследователи Talos, подразделения компании Cisco, сообщили об обнаружении новой разновидности вредоносного ПО. Оно распространяется посредством фишинговых атак, маскируясь под сообщения от разработчиков защитных решений с вложенным файлом Microsoft Word. Его открытие ведет к запуску вредоносной макрокоманды. Сама по себе схема отнюдь не нова, но чрезвычайно примечателен способ, которым зловред после инфицирования выходит на связь с командными серверами организаторов атаки. Это происходит через систему DNS.

Domain Name System служит для получения информации о доменах и ассоциированных с ними IP-адресах. Но при этом DNS поддерживает различные типы коммуникаций, в том числе и в формате TXT. Этим и воспользовались киберпреступники. Передача информации на командные серверы и получение новых инструкций оттуда осуществляется именно через DNS-запросы TXT. Как подчеркивает один из руководителей Talos Крейг Уильямс, это крайне осложняет обнаружение зловреда. Компании привыкли осуществлять мониторинг входящего и исходящего HTTP- и HTTPS- трафика, но мало внимания уделяют DNS-трафику, что потенциально позволяет зловреду оставаться не обнаруженным и осуществлять вредоносную активность на протяжении очень длительного времени.