首页
社区
课程
招聘
[翻译]Lyceum .NET DNS 后门
发表于: 2022-6-13 16:08 8371

[翻译]Lyceum .NET DNS 后门

2022-6-13 16:08
8371


翻译:梦幻的彼岸

原文地址:https://www.zscaler.com/blogs/security-research/lyceum-net-dns-backdoor

Lyceum .NET DNS Backdoor



Lyceum Group自2017年以来一直活跃,是一个国家支持的伊朗APT组织,以瞄准能源和电信领域的中东组织而闻名,主要依赖于基于.NET的恶意软件。

Zscaler ThreatLabZ最近观察到了一场新的活动,Lyceum Group通过复制开源工具的底层代码,利用新开发和自定义的基于.NET的恶意软件针对中东地区。

 

 

 

 

在这次活动中,从域名 "http[:]//news-spot.live "下载了下图所示的启用宏的Word文档(文件名:ir_drones.docm),并将其伪装成与伊朗军事事务有关的新闻报道。该文件的内容复制自以下原始报告:https[:]/www[.]rferl[.]org/a/iran-dron-program-threats-interests/31660048.html

 


一旦用户启用宏内容,下面的AutoOpen()函数就会被执行,该函数使用 "PictureFormat.Brightness = 0.5 "增加图片亮度,显示出标题为 "Iran Deploys Drones To Target Internal Threat, Protect External Interests. "的内容。

 


然后,攻击者利用AutoClose()函数将DNS后门放到系统中。关闭文档后,AutoClose()函数被执行,从word文档第7页的文本框中读取一个PE文件,并将其进一步解析为所需的格式,如下图所示,"MZ "头是字节流的最初两个字节。


然后,这个PE文件被进一步写入Startup(启动)文件夹,以便通过宏代码保持持久性,如下图所示。通过这种策略,每当系统重新启动时,DNS后门就会被执行。


删除的二进制文件是一个基于.NET的名为“DnsSystem”的DNS后门程序,它允许威胁行为者远程执行系统命令,并在受感染的计算机上上传/下载数据。

下面,我们将分析已删除的基于.NET的DNS后门及其内部工作原理。



Lyceum 团队开发了一个基于.NET的DNS后门,在他们最近的活动中被广泛使用。正如前面所讨论的,,后门是从启用了宏的Word文档中复制到受感染系统的Startup(启动)文件夹中的。

md5: 8199f14502e80581000bd5b3bda250ee

文件名: DnsSystem.exe

基于.NET的DNS后门是开源工具DIG.net(DnsDig)的自定义版本,可在此找到:DNS.NET Resolver (C#) - CodeProject. 。DIG.net是一个开源的DNS解析器,可以用来对DNS服务器进行DNS查询,然后解析响应。攻击者已经自定义和添加了代码,允许他们在自定义的DNS服务器上执行各种记录的DNS查询,解析查询的响应,以便远程执行系统命令,并通过利用DNS协议从命令和控制(C2)服务器上传/下载文件。


最初,恶意软件通过获取域名 "cyberclub[.]one"=85[.]206[.]175[.]199的IP地址,使用Dns.GetHostAddresses()的DIG Resolver功能设置了一个攻击者控制的DNS服务器,这又触发了对cyberclub[.]one的DNS请求来解析该IP地址。现在,这个IP被关联为自定义攻击者控制的DNS服务器,用于所有由恶意软件发起的进一步DNS查询。

 

接下来,Form Load函数会根据当前Windows的用户名生成一个独特的BotID。它使用CreateMD5()函数将用户名转换为其MD5等价物,并将MD5的前8个字节解析为BotID,以识别被恶意软件感染的用户和系统。


现在,后门需要从C2服务器接收命令,以执行任务。 后门发送一个初始DNS查询到 "trailers.apple.com",其中域名 "trailers.apple.com "在启动DNS请求之前与先前生成的BotID相连接。然后,DNS查询被发送到DNS服务器,以便通过向BeginDigIt()函数传递三个参数来获取所提供域名的 "TXT "记录: 


BeginDigIt函数然后执行主DNS解析器函数 "DigIt"。这将发送DNS查询,以获取所提供的目标域名的DNS记录到DNS服务器,并解析响应,见下面的代码片断。


 

将Digit Resolver Code DigIt()函数字符串与Dig.Net工具的输出进行比较,如下图所示,我们可以进一步确定Dig.Net工具已经被Lyceum Group自定义,以开发以下基于.Net的DNS后门。

该恶意软件利用了一种被称为 "DNS劫持 "的DNS攻击技术,即DNS服务器被攻击者控制,这将使他们能够操纵对DNS查询的响应。现在让我们分析一下下面的DNS劫持程序。


如前所述,后门执行初始DNS查询,以获取域名EF58DF5trailers.apple.com的TXT记录。EF58DF5是基于Windows用户生成的BotID,以接收来自C2服务器的命令。

 

从上面的截图可以看出,进行DNS查询是为了获取域名的TXT记录:EF58DF5trailers.apple.com到DNS服务器。85[.]206[.]175[.]199,这是之前初始化的攻击者控制的DNS服务器。


这里是DNS劫持发生的地方。由于恶意软件发送跨越DNS查询,以获取TXT记录到攻击者控制的DNS服务器,攻击者控制的DNS服务器响应一个错误的响应,包括由后门执行的命令,如ipconfig,whoami,uploaddd等,如下图所示。

 

以下是后门收到的DIG.Net DNS响应,然后进一步解析,以便在受感染机器上执行命令。


上面的截图包括对攻击者控制的DNS服务器进行的DNS查询,以及目标域名EF58DF5trailers.apple.com。答案部分由查询响应组成,其中包括目标域名和TXT记录的响应,有两个值,"ipconfig" - 要执行的命令和 "1291" - 通信ID


接下来,Dig.net的响应是使用多个模式的重合代码例程来解析的,它从恶意软件收到的完整响应中解析出TXT记录值--上述的命令和通信ID。



接下来,根据从C2服务器收到的TXT记录中的命令,有三种功能可由Lyceum后门执行:


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2022-6-13 16:47 被梦幻的彼岸编辑 ,原因:
收藏
免费 3
支持
分享
最新回复 (1)
雪    币: 864
活跃值: (5124)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
攻防对抗,无声的厮杀
2022-7-19 14:21
0
游客
登录 | 注册 方可回帖
返回
//