广告软件活动劫持DNS暴露数千个OT和政府终端
自2023年以来活跃的恶意广告软件活动劫持了超过25,000个系统的DNS设置,将流量重定向至攻击者控制的服务器,使关键OT和政府网络中的终端暴露于进一步的威胁之中。
MITRE ATT&CK® TTPs (4)
Click any technique to view details on attack.mitre.org
执行摘要
自2023年以来活跃的大规模广告软件活动通过劫持域名系统(DNS)设置,使超过25,000个端点受到侵害,将所有互联网流量路由至攻击者控制的服务器。BitSight的研究人员发现了这一操作,该操作利用廉价的域名注册建立了一个指挥与控制(C2)基础设施,能够截获并重定向受感染系统(包括敏感操作技术(OT)和政府网络中的系统)的流量。该广告软件还充当加载器,展示了终止安全软件的能力,为更危险的次级有效载荷铺平了道路。
技术分析
该活动的核心机制是DNS劫持。感染后,广告软件修改系统的DNS配置,使其指向攻击者控制的恶意服务器。这使得对手能够监控、截获和操纵来自受害机器的所有DNS查询,这种技术被称为“流氓DNS”或“DNS重定向”攻击。根据BitSight的报告,攻击者注册了一个大约10美元的域名来托管他们的C2服务器,然后管理从受感染端点流出的流量。
恶意软件通过软件供应链攻击分发,与看似合法的免费软件下载捆绑在一起。一旦安装,它执行双重功能:显示侵入性广告并充当后门加载器。恶意软件的一个关键特性是其能够识别并强制终止与网络安全和分析工具相关的进程,包括防病毒软件和虚拟机,以逃避检测和移除。这种“杀列表”功能表明操作者打算清除部署额外恶意软件的路径,如远程访问木马(RATs)或信息窃取器,尽管BitSight在他们的分析中没有观察到后续有效载荷。
入侵指标
目前尚未识别。BitSight的报告没有公开发布与该活动相关的具体哈希值、域名或IP地址。建议组织监控端点上DNS服务器设置的未经授权的更改,特别是那些指向不熟悉或未经企业IT政策批准的外部IP地址的更改。
战术、技术与程序
威胁行为者采用了多阶段感染链,融合了软件捆绑、持久性和防御规避。
- 初始访问 (T1566.002):恶意软件通过将其与合法免费软件捆绑在一起进行分发,利用用户对软件供应链的信任。
- 持久性 (T1547.001):广告软件通过注册表运行键建立持久性,以确保系统重启后仍然存在。
- 权限提升 (T1068):恶意软件需要并获得管理员权限以修改关键系统的DNS设置。
- 防御规避 (T1562.001, T1070.004):恶意软件积极终止与安全软件和虚拟机相关的进程。它还删除了其安装和执行的日志和痕迹,以阻碍取证分析。
- 命令与控制 (T1572):主要的C2机制是通过流氓DNS服务器,这些服务器代理了所有受害者的互联网流量,允许数据泄露和重定向到网络钓鱼或投放恶意软件的网站。
威胁行为者背景
此次活动背后的威胁行为者的身份和来源仍然不明。主要动机似乎是财务上的,最初是通过强制广告产生的广告收入。然而,基础设施的设计——能够截获包括政府和工业部门的高价值目标在内的数千个端点的流量——构成了重大的次要风险。这种基础设施可能被出售或出租给其他威胁团体,用于间谍活动、凭据盗窃,或作为勒索软件操作的初始访问代理。建立C2域名的低成本突显了这种基于DNS的攻击的高影响力、低门槛特性。
缓解措施与建议
组织,特别是那些在关键基础设施和政府部门的组织,应采取以下步骤来检测和预防类似的侵害:
- 执行DNS安全:实施DNS过滤服务,并强制使用企业管理的DNS服务器(例如,通过DHCP或组策略)。阻止所有未经批准的解析器的53端口的出站DNS查询。
- 监控DNS更改:部署端点检测和响应(EDR)工具,以警报并阻止未经授权的系统网络设置修改,包括DNS配置。
- 加强软件部署:严格控制软件安装权限和来源位置。使用应用程序允许列表防止未经批准的软件执行。
- 进行网络监控:寻找异常的DNS流量模式,例如端点与未知DNS服务器通信或DNS查询量突然增加到罕见域名。
- 分段OT网络:确保在OT环境和企业IT网络之间进行强有力的网络分段,以限制此类恶意软件的潜在横向移动和影响。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。
