Palo Alto Networks の研究者らは、Webky グループがコマンド アンド コントロール チャネルとして DNS (ドメイン ネーム システム) リクエストを使用していると述べています。
これが重要な理由は、DNS が (たとえば) ポート 80 よりも厳しく監視されていないポートの 1 つであるためです。
パロアルトの投稿(ジョシュ・グランツワイグ、マイク・スコット、ブライアン・リーによる)によると、この活動は名前が明かされていない米国の組織への攻撃中に発見されたという。
この攻撃は、2015 年に中国で発生したこのような攻撃で確認された HTTPBrowser マルウェア ファミリをベースとしていました。
研究者たちはこの攻撃を「pisloader」と名付けました。この攻撃は、被害者をhttp://globalprint-us[.]com/proxy_plugin.exeに誘導し、マルウェアをダウンロードさせます。このマルウェアは、よく知られているPoison Ivy RATをロードします。
攻撃に使用された他のドメインはすべて新規登録されたもので、logitech-us[.]com (実際の Logitech ではありません) と intranetwebcam[.]com でした。
Palo Alto Networksによると、今回の攻撃が他と異なるのは主にDNS C&Cサーバーによるものだという。リクエストの例は以下のとおりだ。
FrameworkPOS と同様に、プロトコルに C&C 命令を入れることで、セキュリティ製品を回避できるように設計されています。
したがって、C&C からの応答は DNS 応答の形式となり、応答のテキストにマルウェアへの指示が含まれます。
- sifo – 被害者のシステム情報を収集します。
- ドライブ – 被害者のマシン上のドライブを一覧表示します。
- list – 指定されたディレクトリのファイル情報を一覧表示します。
- アップロード – 被害者のマシンにファイルをアップロードします。
- open – コマンド シェルを起動します。
投稿に記載されているように、コマンドを生成するコードは GitHub にあります。®
