DNSMessenger, Remote Access Trojan (RAT) baru berbasis Fileless Malware yang gunakan query DNS. Yang mana hal tersebut bertujuan untuk melakukan command PowerShell berbahaya di komputer korban. Teknik ini membuat RAT sulit dideteksi.
Welp, someone doesn't like SourceFire pic.twitter.com/NzuGXZ0WgC
— simpo (@Simpo13) February 24, 2017
DNSMessenger Attack Merupakan Completely Fileless
Analisis lebih lanjut dari malware ini akhirnya menyebabkan peneliti Talos menemukan serangan canggih yang terdiri dari dokumen Word berbahaya. Juga backdoor PowerShell yang berkomunikasi dengan server command-and-control nya melalui permintaan DNS.
Didistribusikan melalui phishing email, serangan DNSMessenger benar-benar fileless. Karena tidak melibatkan menulis file ke sistem target. Sebaliknya, ia menggunakan kemampuan messaging TXT DNS untuk mengambil perintah PowerShell berbahaya yang disimpan secara remote sebagai catatan DNS TXT.
PowerShell merupakan bahasa powerful scripting yang dibangun dalam Windows. Yang memungkinkan untuk otomatisasi tugas-tugas administrasi sistem.
Dokumen Word berbahaya ini dibuat untuk tampil seolah-olah itu terkait dengan layanan email yang aman dan dijamin oleh McAfee. Menurut sebuah posting blog yang diterbitkan oleh peneliti Talos Edmund Brumaghin dan Colin Grady.
Berkiut Bagaimana DNSMessenger attack Bekerja:
Ketika dibuka, dokumen akan meluncurkan makro Visual Basic for Applications (VBA) untuk mengeksekusi script self-contained PowerShell. Dalam upayanya untuk menjalankan backdoor ke sistem target.
Selanjutnya, script VBA akan meng-unpack tahap kedua yang dikompresi dan canggih dari PowerShell. Yang mana akan melibatkan memeriksa beberapa parameter dari lingkungan target, seperti hak-hak pengguna log-in dan versi PowerShell diinstal pada sistem target.
Informasi ini kemudian digunakan untuk memastikan persistensi pada host yang terinfeksi dengan mengubah Registry Windows. Dan juga menginstal script PowerShell tahap ketiga yang berisi backdoor sederhana. Lalu backdoor ditambahkan ke dalam database Windows Management Instrumentation (WMI).
Backdoor berkala mengirimkan permintaan DNS ke salah satu dari serangkaian domain hard-code dalam kode sumbernya. Sebagai bagian dari permintaan tersebut, hal itu akan mengambil domain DNS TXT record. Yang mana berisi perintah PowerShell lanjutan yang dijalankan tetapi tidak pernah ditulis ke dalam sistem lokal.
Sekarang, tahap selanjutnya dari script Powershell adalah remote control yang digunakan oleh penyerang.
Semua yang penyerang perlu lakukan adalah meninggalkan perintah berbahaya dan petunjuk dalam catatan TXT domain korban, yang, ketika ditanya, dijalankan melalui Processor Windows Command Line, dan output dikirim kembali sebagai permintaan DNS lain.
Domain yang didaftarkan oleh DNSMessenger RAT saat ini semuanya sedang down. Sehingga sampai sekarang, tidak diketahui bahwa apa jenis perintah penyerang yang diteruskan ke sistem yang terinfeksi. Namun, para peneliti mengatakan RAT khusus ini digunakan dalam sejumlah kecil serangan yang ditargetkan.
Ini bukan pertama kalinya para peneliti menemukan sebuah malware fileless. Pada awal bulan lalu, peneliti Kaspersky juga menemukan malware fileless, yang berada hanya di memori komputer yang terinfeksi. Lalu menargetkan bank, perusahaan telekomunikasi, dan organisasi pemerintah di 40 negara.
