Greenbug
Greenbug小组赛门铁克于2017年首次报道继续运作和使用它的ISMDoor恶意软件使用C2信令的AAAA记录-本质上使用DNS进行隧道。DNS隧道仍然是一种有效的技术,因为许多公司不监控他们的DNS流量异常。因此,ISMDoor恶意软件一直活跃到2019年11月。虽然大多数用作c2的域都是空洞的,但这是一个寻找ISMDoor使用的基础设施并了解此恶意软件如何工作的好机会。
在DomainTools,我们分析并映射了虹膜调查中所有被动DNS提供商的覆盖范围,以提供最大程度的互联网基础设施的可见性和相关性。由于ISMDoor恶意软件的特定指纹,我们可以通过虹膜调查,通过寻找返回包含静态IPv6响应指纹的预期结果的AAAA记录,密切关注当前活动并引用过去的活动。在我们了解了ISMDoor的工作原理之后,所有这些都在Iris调查平台的几个轴心之内。
ISMDoor DNS信令
Greenbug C2信号的工作方式相当简单。当网络中的每个bot需要联系C2执行命令时,它将生成唯一的会话ID。然后,它将使用该会话ID对C2域进行查询。C2域的命名服务器随后将响应一个静态IPv6地址以确认会话。查询和响应对如下所示:
请注意,这个IPv6地址不在有效地址的全球单播范围之内——如果有人监视他们的DNS,就会发现一个危险信号。然后机器人响应一个编码的消息查询,从C2域的命名服务器接收另一个静态响应,如下所示:
同样,这超出了IPv6的全球单播范围。然后bot将消息总数发送到C2命名服务器,C2名称服务器使用另一个地址进行响应,该地址用所有空格字符表示收到。
接下来,机器人将伸出手,询问C2域它应该从0开始接收多少消息。作为回应,攻击者的命名服务器返回一个静态的IPv6地址,除了最后8个字节,这将表明机器人应该从C2接收到的消息数量。
然后,机器人通过请求以下消息来完成交易:
除了这些初始消息类型外,机器人和C2域还将使用编码的DNS查询来窃取数据,并确认接收到分块的消息以及其他命令信号。由于这些消息各不相同(通常是包含要重新发送的特定序列的响应,并被2020年的小块填充),因此在被动DNS中很难找到它们。幸运的是,会话的建立很容易识别,我们应该能够查找该活动并建立新的C2域。
把它带入虹膜调查
如果我们查看ISMDoor恶意软件的会话建立,我们可以看到几个唯一的地址,即使我们不知道注册的特定C2域,我们也可以在被动DNS中寻找,即:
a67d: db8: a2a1:7334:7654:4325:370:2aa3
a67d: db8:85a3:4325:7654:8a2a: 370:7334
2020:2020:2020:2020:2020:2020:2020:2020
4 f6b: 2020:2020:2020:2020:2020:2020:2020
虽然消息号指示器可能也很有用,但考虑到有超过40亿个组合,很难批量查询。由于提供商的限制,虹膜目前不能在AAAA记录中搜索IPv6地址的块,但也许在未来这将是可能的。但是现在,我们可以获取这些静态地址,并使用它们来查找新的和旧的ISMDoor C2域。
通过选择“按响应搜索”,并选择带有第一个静态地址的“AAAA”记录类型,我们将看到一系列响应:
点击页面右下角的“将域结果发送到Pivot Engine”,将这些发现的域在Iris调查Pivot Engine中创建查询以进行进一步检查。
在检查这些域之前,我们可以通过使用第二个地址来收集更多信息,这会导致被动式DNS中捕获的各种消息和文件传输的响应量更大。我们可以用NETSCOUT的Dennis Schwarz写的一个工具来解码很多GitHub.
这次使用“Send Domain Results to Pivot Engine”对话框中的“Add As An OR Query”来确保我们包含了所有的域。最后,通过使用所有空间的响应(一个非常异常的DNS响应),可以获得被动DNS中ISMDoor最近观察到的C2域。
现在我们已经找到了所有C2域,让我们切换到Iris调查中的“Pivot Engine”选项卡。我们会注意到许多旧的域已经被占用,但是在查询被动dns之后,我们总共有19个域要处理——这比我们只有一个C2域和几个奇怪的IPv6地址时要大得多。对于还没有被下沉的域,我们可以看到一个winrepp[。. com托管在数字海洋上。
如果我们以该IP为中心,我们可以看到另一组有问题的域名-许多被DomainTools风险评分归类为恶意软件的高可能性。
在一个域的ip上抓取虹膜调查的另一个枢纽点,这次是outbrainsecupdater[。我们将再挖掘出37个域名。从那里,检查我们在被动DNS中的新域集,我们可以确认那些在某个时候作为ISMDoor C2涉及的域。例如,新的域名microsoft-publisher[。]com由于捕获的AAAA查询而脱颖而出,如下所示:
从这里开始,一个简单的冲洗和重复将继续显示ISMDoor C2域,因为它们突然出现,除非它们改变了隧道技术。使用这些相同的技术,我们可以在被动DNS中找到其他DNS隧道恶意软件,如后门。win32。CllEcker或Backdoor.Win32.Denis.