翻译：梦幻的彼岸

原文地址：https://www.zscaler.com/blogs/security-research/lyceum-net-dns-backdoor

Lyceum Group自2017年以来一直活跃，是一个国家支持的伊朗APT组织，以瞄准能源和电信领域的中东组织而闻名，主要依赖于基于.NET的恶意软件。

Zscaler ThreatLabZ最近观察到了一场新的活动，Lyceum Group通过复制开源工具的底层代码，利用新开发和自定义的基于.NET的恶意软件针对中东地区。

在这次活动中，从域名 "http[:]//news-spot.live "下载了下图所示的启用宏的Word文档（文件名：ir_drones.docm），并将其伪装成与伊朗军事事务有关的新闻报道。该文件的内容复制自以下原始报告：https[:]/www[.]rferl[.]org/a/iran-dron-program-threats-interests/31660048.html

一旦用户启用宏内容，下面的AutoOpen()函数就会被执行，该函数使用 "PictureFormat.Brightness = 0.5 "增加图片亮度，显示出标题为 "Iran Deploys Drones To Target Internal Threat, Protect External Interests. "的内容。

然后，攻击者利用AutoClose()函数将DNS后门放到系统中。关闭文档后，AutoClose()函数被执行，从word文档第7页的文本框中读取一个PE文件，并将其进一步解析为所需的格式，如下图所示，"MZ "头是字节流的最初两个字节。

然后，这个PE文件被进一步写入Startup（启动）文件夹，以便通过宏代码保持持久性，如下图所示。通过这种策略，每当系统重新启动时，DNS后门就会被执行。

删除的二进制文件是一个基于.NET的名为“DnsSystem”的DNS后门程序，它允许威胁行为者远程执行系统命令，并在受感染的计算机上上传/下载数据。

下面，我们将分析已删除的基于.NET的DNS后门及其内部工作原理。

Lyceum 团队开发了一个基于.NET的DNS后门，在他们最近的活动中被广泛使用。正如前面所讨论的，，后门是从启用了宏的Word文档中复制到受感染系统的Startup（启动）文件夹中的。

md5: 8199f14502e80581000bd5b3bda250ee

文件名: DnsSystem.exe

基于.NET的DNS后门是开源工具DIG.net（DnsDig）的自定义版本，可在此找到：DNS.NET Resolver (C#) - CodeProject. 。DIG.net是一个开源的DNS解析器，可以用来对DNS服务器进行DNS查询，然后解析响应。攻击者已经自定义和添加了代码，允许他们在自定义的DNS服务器上执行各种记录的DNS查询，解析查询的响应，以便远程执行系统命令，并通过利用DNS协议从命令和控制(C2)服务器上传/下载文件。

最初，恶意软件通过获取域名 "cyberclub[.]one"=85[.]206[.]175[.]199的IP地址，使用Dns.GetHostAddresses()的DIG Resolver功能设置了一个攻击者控制的DNS服务器，这又触发了对cyberclub[.]one的DNS请求来解析该IP地址。现在，这个IP被关联为自定义攻击者控制的DNS服务器，用于所有由恶意软件发起的进一步DNS查询。

接下来，Form Load函数会根据当前Windows的用户名生成一个独特的BotID。它使用CreateMD5()函数将用户名转换为其MD5等价物，并将MD5的前8个字节解析为BotID，以识别被恶意软件感染的用户和系统。

现在，后门需要从C2服务器接收命令，以执行任务。 后门发送一个初始DNS查询到 "trailers.apple.com"，其中域名 "trailers.apple.com "在启动DNS请求之前与先前生成的BotID相连接。然后，DNS查询被发送到DNS服务器，以便通过向BeginDigIt()函数传递三个参数来获取所提供域名的 "TXT "记录: 

BeginDigIt函数然后执行主DNS解析器函数 "DigIt"。这将发送DNS查询，以获取所提供的目标域名的DNS记录到DNS服务器，并解析响应，见下面的代码片断。

将Digit Resolver Code DigIt()函数字符串与Dig.Net工具的输出进行比较，如下图所示，我们可以进一步确定Dig.Net工具已经被Lyceum Group自定义，以开发以下基于.Net的DNS后门。

该恶意软件利用了一种被称为 "DNS劫持 "的DNS攻击技术，即DNS服务器被攻击者控制，这将使他们能够操纵对DNS查询的响应。现在让我们分析一下下面的DNS劫持程序。

如前所述，后门执行初始DNS查询，以获取域名EF58DF5trailers.apple.com的TXT记录。EF58DF5是基于Windows用户生成的BotID，以接收来自C2服务器的命令。

从上面的截图可以看出，进行DNS查询是为了获取域名的TXT记录：EF58DF5trailers.apple.com到DNS服务器。85[.]206[.]175[.]199，这是之前初始化的攻击者控制的DNS服务器。

这里是DNS劫持发生的地方。由于恶意软件发送跨越DNS查询，以获取TXT记录到攻击者控制的DNS服务器，攻击者控制的DNS服务器响应一个错误的响应，包括由后门执行的命令，如ipconfig，whoami，uploaddd等，如下图所示。

以下是后门收到的DIG.Net DNS响应，然后进一步解析，以便在受感染机器上执行命令。

上面的截图包括对攻击者控制的DNS服务器进行的DNS查询，以及目标域名EF58DF5trailers.apple.com。答案部分由查询响应组成，其中包括目标域名和TXT记录的响应，有两个值，"ipconfig" - 要执行的命令和 "1291" - 通信ID

接下来，Dig.net的响应是使用多个模式的重合代码例程来解析的，它从恶意软件收到的完整响应中解析出TXT记录值--上述的命令和通信ID。

接下来，根据从C2服务器收到的TXT记录中的命令，有三种功能可由Lyceum后门执行:

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课