Все мы знаем, что создатели вирусов и вредоносных программ становятся все более хитрыми и изобретательными. Поскольку они всегда пытаются найти новые способы заражения пользователей и управления их машинами, но теперь они снова нашли другой новый способ сделать это.
Создатели вирусов и вредоносных программ становятся все более хитрыми и изобретательными. Они всегда пытаются найти новые способы заразить пользователей и управлять их машинами.
DNSMessenger - это последняя обнаруженная форма вредоносного ПО, которое контролируется исключительно запросами к службе DNS.
DNS - одна из важнейших служб Интернета и его использования. Он преобразует IP-адреса в имена и позволяет, как только мы можем перемещаться, просто вводя адреса страниц, которые мы хотим посетить. Но DNS эволюционировал с годами, и сегодня он делает гораздо больше, чем просто эти преобразования.
Именно благодаря этим дополнительным функциям, в частности в регистрах TXT, работает DNSMessenger. Эта вредоносная программа поступает на компьютеры в виде файла Word, который фактически запускает набор сценариев в PowerShell.
После оценки системы, в которой она находится, и имеющихся у нее разрешений, DNSMessenger начинает обмен данными. с его контролем, всегда через DNS-запрос, где он получает команды через полученные ответы.
Использование DNS для контроля вредоносных программ имеет очевидные преимущества для злоумышленников. Самым большим из них является отсутствие записей об этих операциях на компьютерах, что затрудняет обнаружение его как вредоносного ПО.
С другой стороны, большинство средств защиты сосредоточено на анализе трафика гораздо более используемых протоколов, таких как HTTP и HTTPS, которые оставляет DNSMessenger за пределами радиуса оценки систем защиты и фильтров трафика, которые по норме применяемый.
Это еще одно свидетельство того, что создатели вредоносных программ становятся все более изощренными и ищут новые способы оставаться незамеченными, при этом повышая эффективность своих атак.