2018 年11 月，思科Talos 发现了一项名为DNSpionage 的攻击活动，其中威胁参与者创建了一种新的远程管理工具，支持与攻击者的命令和控制(C2) 进行HTTP 和DNS 通信。 DNSpionage 恶意软件活动中添加了一个新的侦察阶段，这表明攻击者对目标的选择性越来越强，此外还有一种名为Karkoff 的新的基于.NET 的恶意软件，旨在允许他们在受感染的主机上远程执行代码。

除了DNSpionage 恶意软件之外，该活动背后的黑客组织还使用Mimikatz 凭证转储程序、各种现成的管理工具、Bitvise WinSSH SSH 服务器、一些开源黑客工具以及用于SSH 隧道的Putty 程序。 CERT-OPMD 的法国安全研究人员详细介绍了同一网络，还为DNSpionage 攻击提供ATT 和CK 矩阵映射。

旨在提高攻击效率的新恶意工具

自最初的报告发布以来，DNSpionage 活动背后的黑客已经改进了他们的攻击方法并扩展了他们的恶意工具集。更重要的是，作为该活动中添加的新侦察阶段的一部分，“恶意软件会释放Windows 批处理文件(a.bat) 以执行WMI 命令并获取受害者计算机上所有正在运行的进程。”这与NetWkstaGetInfo() API 请求相结合，使其能够收集旨在对受害者计算机进行指纹识别的工作站环境信息。

攻击者还有效地破坏了Yara 规则，该规则旨在通过分段API 调用来根据特定字符串检测恶意活动，从而提高恶意软件隐藏其活动的能力。

拆分API 调用

DNSpionage 还将检查受感染计算机上是否安装了Avira 和Avast 反恶意软件解决方案，并相应地自定义其操作，忽略某些配置文件中的某些选项。

后来，研究人员偶然发现了DNSpionage 活动分发的一种新的基于.NET 的恶意软件。在分析的样本中，恶意软件作者以纯文本形式留下了两个不同的内部名称：“DropperBackdoor”和“Karkoff”。因此，第二个名称被用作新恶意软件“Karkoff”的名称。

“由于该恶意软件体积小，因此与其他恶意软件相比是轻量级的，允许从C2 服务器远程执行代码。无需混淆，代码可以轻松反汇编。”

从事件响应的角度来看，有趣的是恶意软件生成一个日志文件：C:\Windows\Temp\MSEx_log.txt。执行的命令存储在该文件中（x 带有“M”），并带有时间戳。该日志文件可以轻松地用于创建命令执行的时间线，这在响应此类威胁时非常有用。考虑到这一点，受到该恶意软件攻击的组织将有机会查看日志文件并识别针对它们执行的命令。

新的Karkoff 恶意软件在注意到基础设施重叠后与DNSpionage 活动相关联，使用rimrun[.]com 作为C2 服务器，攻击者之前使用其IP 地址将资产连接到其恶意软件活动。

C2 服务器硬编码在分析样本中

该恶意软件使用域名或IP地址，Karkoff支持HTTP和HTTPS通信。

DNS 劫持警报

域名系统(DNS) 是一项允许用户输入网站地址作为域名而不必输入IP 地址的服务。通过使用DNS 劫持攻击获取DNS 记录的访问权限，威胁行为者可以将目标的名称服务器重定向到自己的基础设施，从而将受害者引导到他们控制的服务器，并使用恶意软件或各种恶意工具危害他们。

据思科Talos 发现，DNSpionage 攻击者在攻击初期就将目光瞄准了中东的多个目标，针对黎巴嫩和阿联酋的多个政府域发起了DNS 劫持攻击。今年早些时候，继Cisco Talos Group、FireEye 和CrowdStrike 报告DNS 劫持后，国土安全部(DHS) 发布了DNS 基础设施劫持活动警报，要求所有美国机构检查其.gov 或机构管理的域名是否解析为正确的IP 地址。

此外，思科Talos 的研究团队最近披露了有关“海龟行动”的详细信息，这是一项由国家资助的攻击活动，利用DNS 劫持攻击来自13 个国家的约40 个公共和私人组织。

威胁行为者对DNSpionage 恶意软件的持续开发表明，攻击者不断寻找新的方法来避免检测。有一些奇怪的东西绝对不正常，但有效载荷显然更新并且试图变得更加难以捉摸。 DNS 隧道是一些流行的方法，最近的DNSpionage 示例表明，当前有必要确保DNS 监控与组织的正常代理或网络日志紧密相关。 DNS 本质上是互联网的电话簿，当它被篡改时，任何人都很难判断他们在网上看到的内容是否合法。卡科夫的研究结果还表明，它正在转向并越来越多地试图避免被发现，需要提高警惕。

我们专注高端建站，小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验，每一个项目承诺做到满意为止，多一次对比，一定让您多一份收获！