原标题:研究:PowerShell木马让DNS查询沦为骇客联系管道
示意图,与新闻事件无关。
思科(Cisco)旗下的威胁情报部门Cisco Talos上周公布一新的无档案远端存取木马(RAT)程式,它以PowerShell指令展开攻击,并利用网域名称服务(DNS)与骇客所掌控的C C伺服器通讯。
该木马是今年2月由安全研究人员Simpo透过Twittter揭露,由于Simpo发现恶意程式代码中点名了思科的安全产品SourceFire,吸引Talos展开进一步的研究。
DNS为企业网路中最常见的网路应用协定之一,它提供域名解析服务,以让使用者可经由网域名称而非IP位址存取网站,儘管许多企业会过滤网路流量并制定防火墙政策,但对于DNS威胁的保护却相对薄弱,而让骇客有机可趁。
Talos分析了该木马,显示它利用针对DNS TXT文字记录的查询及回应来建立与C C伺服器的双向通道,于是骇客便能利用DNS通讯来提交新的指令,以于受感染的机器上执行,并将执行结果回报给C C伺服器。
Powershell为一可自动执行任务与进行配置管理的介壳程式,骇客将恶意的Powershell嵌入Word文件中,当使用者开启文件并启用巨集后,该木马即展开4个阶段的感染行动,它会先修改注册表并检查Powershell版本,倘若受骇使用者具备管理权限,木马便会把自己加入Windows Management Instrumentation(WMI)中,成为就算重开机都会继续存在的常驻木马。
之后,它会定期传送DNS请求给代码中内建的网域,取得该网域的DNS TXT记录,该记录内含了其他的Powershell指令,并会在受感染的电脑上直接执行,骇客唯一要做的是在这些网域的DNS TXT记录中留下各种指令。危险的是,藉由DNS请求取得的Powershell指令从未被写入本地系统,因此也无从侦测。
有鉴于此一木马程式的设计是如此精细,Talos推测它只被用在少数的目标对象上,且迄今尚未确定其意图,除非企业监控了DNS流量,否则这类的感染也许永远不会被发现。
相关:
(中央社记者陈伟婷台北6日电)膀胱癌是泌尿道常见的恶性肿瘤,长庚医院研究团队发现,抑癌基因突变会让癌细胞基因调控失衡,让肿瘤更大。有药物可抑制KDM6A突变细胞生长,治疗露曙光。在台湾,膀胱癌发生率有逐年增
这是一组关于上世纪九十年代美国好莱坞男妓的纪实摄影,由著名的商业摄影师Philip Lorca Dikelika 所拍摄完成。这组作品也从一个侧面展示了九十年代真实的好莱坞。(照片里的是Marilyn,拍摄时二十八岁,价格三十美元
根据儿童心理行为研究发现,孩子的模仿能力非常强,但不见得是立即表现出来,有时候是先烙印在脑子里,有需要的时候再拿出来用。例如研究发现,三岁前被用打骂教养,在五岁后打人的机率,比一般孩子高出五倍;而且烙
今天(3日)出刊的一份有关汽车废气排放造假对健康的冲击研究指出,2008年到2015年在德国售出的260万辆福斯公司(Volkswagen)汽车,因为将废气排放量操纵为比原本应有的低,将造成欧洲1,200人提早死亡。参与这项研究的美
美国卫生官员2日表示,比起在疫情爆发前生产的妇女,去年感染寨卡病毒(Zika)的孕妇有高出20倍的可能性,其所怀婴儿出生时带有缺陷。美国疾病管制暨预防中心(CDC)研究人员使用3个州的登记资料,将2015年爆发寨卡疫情前