martes, 25 de febrero de 2020

El nuevo malware de Mozart recibe comandos y oculta el tráfico mediante DNS


Un nuevo malware de puerta trasera llamado Mozart está utilizando el protocolo DNS para comunicarse con atacantes remotos para evadir la detección por software de seguridad y sistemas de detección de intrusos.

Normalmente, cuando un malware llama a su casa para recibir comandos que deben ejecutarse, lo hará a través de los protocolos HTTP / S para facilitar su uso y comunicación.

Sin embargo, el uso de la comunicación HTTP / S para comunicarse tiene sus inconvenientes, ya que el software de seguridad normalmente monitorea este tráfico en busca de actividad maliciosa. Si se detecta, el software de seguridad bloqueará la conexión y el malware que realizó la solicitud HTTP / S.

En la nueva puerta trasera de Mozart descubierta por MalwareHunterTeam, el malware usa DNS para recibir instrucciones de los atacantes y evadir la detección.

Uso de registros TXT de DNS para emitir comandos

DNS es un protocolo de resolución de nombres que se utiliza para convertir un nombre de host, como www.example.com, a sus direcciones IP, 93.184.216.34, para que el software pueda conectarse a la computadora remota.

Además de convertir los nombres de host a la dirección IP, el protocolo DNS también le permite consultar registros TXT que contienen datos de texto.

Esta característica se usa comúnmente para la verificación de la propiedad del dominio para servicios en línea y políticas de seguridad de correo electrónico como Sender Policy Framework o DMARC.

También puede usarlos para pequeñas demostraciones tontas como el registro TXT de 'hi.bleepingcomputer.com'.

hi.bleepingcomputer.com TXT record

Los atacantes de Mozart están utilizando estos registros TXT de DNS para almacenar comandos recuperados por el malware y ejecutados en la computadora infectada.

Se cree que el malware Mozart se distribuye a través de correos electrónicos de phishing que contienen archivos PDF que enlazan con un archivo ZIP que se encuentra en https: // masikini [.] Com / CarlitoRegular [.] Zip.

Este archivo zip contiene un archivo JScript que cuando se ejecuta extraerá un ejecutable codificado en base64 que se guardará en la computadora como% Temp% \ calc.exe y se ejecutará.

Mozart Jscript installer

Según el director de SentinelLabs, Vitali Kremez, quien analizó esta puerta trasera y compartió sus hallazgos con BleepingComputer, el malware primero verificará el archivo% Temp% \ mozart.txt.

Si no existe, creará el archivo con el contenido de '12345' y realizará algunos trabajos de preparación en la computadora.

Esto incluye copiar el archivo calc.exe de la carpeta% Temp% a un ejecutable con nombre aleatorio en la carpeta% AppData% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ para iniciar cada vez que la víctima inicia sesión en Windows.

mozart.txt file

Según Kremez, el malware Mozart se comunicará con un servidor DNS codificado bajo el control del atacante en 93 [.] 188 [.] 155 [.] 2 y emitirá las siguientes solicitudes DNS para recibir instrucciones o datos de configuración:

The loader obtains the bot id and returns Base64-encoded parameters for tasks and further processing:

A. ".getid" (.1)
The bot generation API sequence is as follows:
GetCurrentHwProfileW -> GetUserNameW -> LookupAccountNameW -> ConvertSidToStringSidW 

B. ".gettasks" (.1)
Parse tasks with "," delimiter

C.".gettasksize" (.1)
Allocate memory for the task and dnsquery_call

D. ".gettask" (.1)
Parse for the specific task

E. ".reporttask" (.0|.1)
Run the task via CreateProcessW API

F. ".reportupdates" (.0|.1)
Retrieve and check updates via WriteFile and MoveFilW locally for a stored check as ".txt"

H. ".getupdates" (.0|.1)
Check for presence of ".txt" update and write the update with "wb" flag and check for executable extension (".exe") following with ".gettasks" call.

Por ejemplo, en las pruebas de BleepingComputer, se nos asignó el bot de ID '111', lo que provocó que Mozart realizara búsquedas DNS TXT para 111.1.getid, 111.1.getupdates y 111.1.gettasks.

gettasks DNS request

Al monitorear a Mozart, notamos que el malware emitirá continuamente consultas 'gettasks' al servidor DNS del atacante para encontrar comandos para ejecutar.

Si la respuesta del registro TXT está vacía, como se muestra arriba, eso significa que no hay comandos para ejecutar y el malware continuará realizando esta verificación una y otra vez hasta que se proporcione una tarea.

En este momento, no se sabe qué comandos está ejecutando Mozart, ya que las pruebas realizadas por mí y Kremez no dieron lugar a ninguna respuesta a las consultas de DNS.

Es posible que no hayamos probado durante un período suficientemente largo o que los atacantes estén actualmente en proceso de construir su botnet antes de transmitir los comandos.

Bloqueando este tipo de amenaza
Es importante tener en cuenta que el malware que usa DNS para comunicarse no es exclusivo de la puerta trasera de Mozart.

En 2017, el grupo Cisco Talos descubrió un malware llamado DNSMessenger que también usaba registros TXT para comunicación maliciosa.

Para bloquear Mozart, podríamos decirle que bloquee las solicitudes de DNS a 93 [.] 188 [.] 155 [.] 2, pero las nuevas variantes podrían simplemente cambiar a un nuevo servidor DNS hasta que nos cansemos de este juego de gato y ratón .

En cambio, es importante estar atento a los nuevos métodos de comunicación maliciosa y si su software de seguridad y sus sistemas de intrusión pueden monitorear las consultas DNS TXT, debe habilitarlo.


No olvides Compartir... 

Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes