Malware omzeilt beveiliging via Domain Name Service
Een eenvoudige methode om je te wapenen tegen malware is om de verbinding met zijn command-and-control server te blokkeren. Op deze manier kan de kwaadaardige software geen instructies ontvangen en zullen ontvreemde gegevens niet in de handen van cybercriminelen belanden. Hackers zijn zich echter net zo goed bewust van de zwaktes van hun malware en zoeken continu naar nieuwe manieren om mensen in de val te lokken.
Domain Name Service
Cisco Talos is kwaadaardige software op het spoor gekomen die een erg effectieve manier gebruikt om te voorkomen dat zijn werking wordt stopgezet door een geblokkeerde IP-adres. De malware maakt immers gebruik van de Domain Name Service voor zijn communicatie.
De Domain Name Service wordt door computers gebruikt om op te zoeken wat het juiste IP-adres is van een bepaalde URL. Hierdoor kan je de naam van een website in je browser opgeven, zonder dat je de opeenvolging van getallen van buiten moet kennen. De service is één van de belangrijkste onderdelen van het internet om een vlotte werking te garanderen. Slechts weinig computergebruikers zijn in staat om DNS te blokkeren zonder problemen te veroorzaken, wat de service een interessant achterpoortje voor cybercriminelen maakt.
Word
De hackers maken gebruik van eenvoudige phishingmails met een Word-document als bijlage om hun slachtoffers in de val te lokken. In het document wordt verteld dat het bestand is beveiligd door McAfee en dat je de bewerkingen moet inschakelen om de tekst te kunnen lezen. Eenmaal een slachtoffer deze actie uitvoert, wordt malware op de computer losgelaten die een achterpoort op het systeem installeert. Indien het slachtoffer administratorrechten heeft, wordt de achterpoort toegevoegd aan de Windows Management InsInstrumentation (WMI) database, waardoor de achterpoort ook na een reboot aanwezig blijft.
De achterpoort stuurt periodisch DNS-requests uit naar verschillende domeinen die in zijn code geprogrammeerd staan. Via deze weg ontvangt de malware txt-bestanden, waarin PowerShell-commando’s vervat zitten waarmee de cybercriminelen controle kunnen nemen over het systeem van hun slachtoffer. “Indien een commando wordt ontvangen, wordt het uitgevoerd en de resultaten worden uitgestuurd naar de C2-server. Dit geeft de aanvaller de mogelijkheid om eender welke applicatie of commando’s uit te voeren die beschikbaar zijn op de geïnfecteerde computer,” schrijft Cisco in een blogpost.
Gerichte aanval
Gelukkig is de kans klein dat jij geïnfecteerd zal geraken met de malware. Beveiligingsspecialisten vermoeden dat de software is bedoeld voor gerichte aanvallen op bedrijven. Bovendien heeft Cisco een nieuw product klaar, Umbrella genaamd, die computers kan beschermen tegen malware die DNS-aanvallen uitvoeren.