DNSMessenger un troyano que no necesita escribir en tu disco para infectarte

Publicado el 09 marzo 2017 por Jesús Jiménez @zonageeknet

Este troyano tiene una forma prácticamente indetectable de infectarte y mantenerse funcionando en tu sistema. ¿Lo más terrorífico? Los antimalware no lo detectan.

Mientras las compañías de seguridad se vuelven más hábiles y perfeccionan sus herramientas para mantener a los ciberdelincuentes alejados de nuestros ordenadores, los creadores de Malware se vuelven más creativos a la hora de desarrollar técnicas que eludan estos mecanismos de detección.

Esta historia es, además de interesante, bastante preocupante, pues hablaremos de como un atacante podría controlar tu equipo remotamente sin necesidad de escribir nada en el disco. Si, sin archivos, cero, solo con una conexión a Internet es suficiente.

El Malware se llama DNSMessenger y fue descubierto por TALOS, la división de seguridad de CISCO hace pocos días. El nombre viene, como podríamos suponer, por su funcionamiento. Y es que este hace uso del protocolo DNS, uno de los protocolos más usados en las redes, tanto corporativas como de Internet debido a que es la que permite traducir los nombres (como zonageek.net) en la dirección IP destino.

Normalmente los dispositivos de seguridad como Firewall, IDS e IPS, tienen reglas bastante estrictas en lo que a tráfico web se refiere, y muchos especialistas de seguridad se preocupan por el tráfico sensible de ciertas aplicaciones, pero normalmente el tráfico DNS no tiene muchas restricciones.

Los Atacantes al darse cuenta de este detalle, quisieron encontrar una forma de aprovechar esa brecha y han creado un script que funciona usando las consultas y respuestas de los registros TXT del protocolo DNS para generar un sistema Command and Control (C2) bidireccional, con lo cual el atacante puede enviar comandos remotos a un host comprometido y recibir respuestas. En otras palabras, control total del dispositivo que pasaría desapercibido por cualquier firewall o mecanismo de seguridad.

El ataque se realiza a través de un archivo de Word especialmente manipulado que, al abrirlo, ejecuta una macro en VBA (Visual Basic For Applications) que contiene un script de PowerShell, un poderoso framework de línea de comandos que permite automatizar las tareas administrativas del sistema y viene instalado por defecto en las versiones de Windows más recientes.

El archivo de Word aparenta ser un documento protegido con un sistema de seguridad de McAfee e insta al usuario a habilitar el contenido activo para poder visualizar el documento correctamente. Obviamente, al habilitar el contenido activo, la macro se ejecuta e infecta el dispositivo.

Al ejecutarse la macro, esta a su vez, ejecuta un PowerShell que intenta abrir una puerta trasera, para luego descomprimir una segunda etapa bastante sofisticada de PowerShell, que comprueba varios parámetros del entorno del dispositivo atacado, como los privilegios del usuario conectado y la versión de PowerShell instalada en el sistema.

Luego usa esta información para manipular el registro de Windows y mantenerse persistente en memoria incluso luego de un reinicio. Luego instala un tercer script que contiene una puerta trasera simple, la cual se instala en la base de datos WMI. Luego, envía consultas periódicas a ciertos dominios que se encuentran en el código del script en busca de instrucciones embutidas en los records TXT de las respuestas DNS recibidas, las cuales pueden contener comandos o más scripts en PowerShell.

Luego, descarga un cuarto script de PowerShell que es la verdadera puerta trasera y desde la cual se enviarán y recibirán los comando de PowerShell almacenados en los registros TXT de las consultas DNS. Lo interesante de todo este proceso es que en ningún momento se escribe nada en el disco duro de la víctima y, para muchos sistemas de seguridad, por más actualizados que estén, habrá llegado hasta este punto sin ser notado.

Por el momento, reportan desde TALOS que todos los dominios encontrados en el script de infección se encuentran abajo, por lo que no se conoce que comandos habrán enviado los atacantes a los sistemas infectados. Sin embargo, se registró actividad desde esos dominios desde el día 22 de febrero de 2017 hasta el 25 de febrero de 2017, por lo que pudo haberse tratado de un ataque bastante específico o una prueba de concepto.

Casos como este nos hacen reconsiderar los puntos fuertes y débiles de nuestra configuración de seguridad. Quizás luego de esta experiencia, los analistas de seguridad se enfocarán un poco más en el aparentemente inocuo protocolo DNS, pero esto demuestra que un atacante puede ser bastante creativo en explotar puntos débiles que ni siquiera sabíamos que teníamos.

Recuerden dejar sus comentarios, alimentan el debate y nos ayudan a mejorar.

Fuente: TALOS