DNSMessenger: Já há malware que usa o DNS para receber ordens

07 Mar 2017 · Internet 3 Comentários

Os criadores de vírus e de malware estão cada vez mais astutos e mais criativos. Procuram sempre encontrar novas forma de infetar os utilizadores e de controlar as suas máquinas.

O DNSMessenger é a mais recente forma de malware a ser descoberta, com a particularidade de ser controlado exclusivamente por consultas ao serviço de DNS.

O DNS é um dos serviços essenciais à Internet e à sua utilização. Converte endereços IP em nomes e permite que assim que consigamos navegar apenas com o escrever dos endereços das páginas que queremos visitar. Mas o DNS tem evoluído ao longo dos anos e hoje já faz muito mais que essas conversões.

É precisamente através destas funções adicionais, nomeadamente nos registos TXT, que o DNSMessenger funciona. Este malware chega aos computadores na forma de um ficheiro Word, que na verdade executa um conjunto de scripts em PowerShell.

Depois de avaliar o sistema onde está e as permissões que tem, o DNSMessenger inicia a comunicação com seu controlo, sempre através de consulta de DNS, onde recebe os comandos através das respostas obtidas.

Forma de comunicação do DNSMessenger

Porquê usar o DNS no DNSMessenger?

A utilização do DNS para controlar o malware tem vantagens óbvias para os atacantes. A maior delas é a ausência de registos destas operações nos computadores, o que dificulta a deteção do malware.

Por outro lado, a maioria das defesas centra-se na análise de tráfego de protocolos muito mais usados, como o HTTP e o HTTPS, o que deixa o DNSMessenger fora do radar de avaliação dos sistemas de proteção e dos filtros de tráfego que por norma são aplicados.

Esta é mais uma prova de que os criadores de malware estão cada vez mais sofisticados e procuram novas formas de passarem despercebidos, ao mesmo tempo que conseguem ser mais eficientes nos seus ataques.

Via Cisco Talos

Este artigo tem mais de um ano

Acompanhe o Pplware no Google Notícias

Propor Revisão Proponha uma correção, faça uma sugestão

Autor: Pedro Simões

Tags: comandos DNS DNSMessenger malware

Comentários3

Az8teiro says:

7 de Março de 2017 às 12:51

É o que dá achanatarem protocolos em vez de criarem protocolos específicos e bem definidos de raíz.

Dá sempre asneira! Porque alguém tem preguiça, ou porque fica caro, ou dá trabalho… ASsim é mais simples e mais rápido.

Anyway, powershell -> windows… nada de novo.

Responder
Sérgio says:

7 de Março de 2017 às 15:49

Usem o DNScrypt, assim estão muito mais seguros…

Responder
- carlos says:
  
  20 de Março de 2017 às 02:54
  
  eu o tenho instalado junto com o dnsmasq e funfa que é uma beleza. mas estamos mais protegidos mesmo?
  
  Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.