- 9,628
- 18
- 8 Ноя 2022
Анализ DNS-запросов показывает неплохой потенциал в выявлении новых киберпреступных методов.
После очередной проверки аномального DNS-трафика, отличающегося от обычной интернет-активности, специалистами компании Infoblox Для просмотра ссылки Войдиили Зарегистрируйся новый набор вредоносных программ для предприятий под названием «Decoy Dog».
Decoy Dog помогает злоумышленникам обходить стандартные методы обнаружения за счёт стратегического «устаревания доменов» и клонирования DNS-запросов для создания хорошей репутации у поставщиков средств безопасности.
Исследователи из Infoblox обнаружили данный инструментарий в начале этого месяца в рамках ежедневного анализа более 70 миллиардов DNS-записей для поиска признаков подозрительной активности.
Специалисты сообщают, что DNS-отпечаток Decoy Dog чрезвычайно редок и уникален среди 370 миллионов активных доменов в Интернете, что резко упрощает его идентификацию и отслеживание. Поэтому расследование вредоносной инфраструктуры Decoy Dog быстро привело к обнаружению нескольких C2-серверов, которые были связаны с одной и той же операцией.
Дальнейшее расследование показало, что DNS-туннели обнаруженных доменов имели характеристики, указывающие на Pupy RAT , троян удаленного доступа, развернутый набором инструментов Decoy Dog.
Pupy RAT — это модульный набор инструментов для постэксплуатации с открытым исходным кодом, популярный среди спонсируемых государством злоумышленников за свою скрытность, поддержку зашифрованных C2-коммуникаций и помощь в объединении и координации действий с другими пользователями данного инструмента.
Проект Pupy RAT поддерживает полезные нагрузки во всех основных десктопных и мобильных операционных системах, включая Windows, macOS, Linux и Android. Как и другие RAT, он позволяет злоумышленникам удаленно выполнять команды, повышать привилегии, красть учётные данные и распространяться по скомпрометированной сети.
«Эта сигнатура, состоящая из нескольких частей, вселила в нас уверенность в том, что связанные домены не просто использовали Pupy. Все они были частью Decoy Dog — большого единого набора инструментов, который очень специфическим образом развёртывал Pupy на предприятиях», — говорится в отчете Infoblox.
Кроме того, аналитики обнаружили отличающееся поведение DNS-маяков на всех доменах-приманках, настроенных на следование определенному шаблону периодического, но нечастого создания DNS-запросов.
Расследование деталей показало, что операция Decoy Dog стартовала ещё в начале прошлого апреля и оставалась незамеченной более года. Даже несмотря на то, что домены этого инструментария показывают крайние выбросы в аналитике.
Компания Infoblox перечислила домены Decoy Dog в Для просмотра ссылки Войдиили Зарегистрируйся и добавила их в свой список «Подозрительные домены», чтобы помочь защитникам, аналитикам безопасности и целевым организациям защититься от этой изощренной угрозы.
Компания также поделилась индикаторами компрометации в своем общедоступном репозитории GitHub, который можно использовать для ручного добавления в чёрные списки.
Обнаружение Decoy Dog демонстрирует возможности использования крупномасштабного анализа данных для обнаружения аномальной активности на просторах Интернета, что в будущем позволит быстрее находить подобного рода угрозы.
После очередной проверки аномального DNS-трафика, отличающегося от обычной интернет-активности, специалистами компании Infoblox Для просмотра ссылки Войди
Decoy Dog помогает злоумышленникам обходить стандартные методы обнаружения за счёт стратегического «устаревания доменов» и клонирования DNS-запросов для создания хорошей репутации у поставщиков средств безопасности.
Исследователи из Infoblox обнаружили данный инструментарий в начале этого месяца в рамках ежедневного анализа более 70 миллиардов DNS-записей для поиска признаков подозрительной активности.
Специалисты сообщают, что DNS-отпечаток Decoy Dog чрезвычайно редок и уникален среди 370 миллионов активных доменов в Интернете, что резко упрощает его идентификацию и отслеживание. Поэтому расследование вредоносной инфраструктуры Decoy Dog быстро привело к обнаружению нескольких C2-серверов, которые были связаны с одной и той же операцией.
Дальнейшее расследование показало, что DNS-туннели обнаруженных доменов имели характеристики, указывающие на Pupy RAT , троян удаленного доступа, развернутый набором инструментов Decoy Dog.
Pupy RAT — это модульный набор инструментов для постэксплуатации с открытым исходным кодом, популярный среди спонсируемых государством злоумышленников за свою скрытность, поддержку зашифрованных C2-коммуникаций и помощь в объединении и координации действий с другими пользователями данного инструмента.
Проект Pupy RAT поддерживает полезные нагрузки во всех основных десктопных и мобильных операционных системах, включая Windows, macOS, Linux и Android. Как и другие RAT, он позволяет злоумышленникам удаленно выполнять команды, повышать привилегии, красть учётные данные и распространяться по скомпрометированной сети.
«Эта сигнатура, состоящая из нескольких частей, вселила в нас уверенность в том, что связанные домены не просто использовали Pupy. Все они были частью Decoy Dog — большого единого набора инструментов, который очень специфическим образом развёртывал Pupy на предприятиях», — говорится в отчете Infoblox.
Кроме того, аналитики обнаружили отличающееся поведение DNS-маяков на всех доменах-приманках, настроенных на следование определенному шаблону периодического, но нечастого создания DNS-запросов.
Расследование деталей показало, что операция Decoy Dog стартовала ещё в начале прошлого апреля и оставалась незамеченной более года. Даже несмотря на то, что домены этого инструментария показывают крайние выбросы в аналитике.
Компания Infoblox перечислила домены Decoy Dog в Для просмотра ссылки Войди
Компания также поделилась индикаторами компрометации в своем общедоступном репозитории GitHub, который можно использовать для ручного добавления в чёрные списки.
Обнаружение Decoy Dog демонстрирует возможности использования крупномасштабного анализа данных для обнаружения аномальной активности на просторах Интернета, что в будущем позволит быстрее находить подобного рода угрозы.
- Источник новости
- www.securitylab.ru
