Идет дождь из крыс и собак, целью которого является DNS: как Infoblox реагирует на адаптации Decoy Dog

Jul 15, 2023

ОБНОВЛЕНО 18:37 ПО ВОСТОЧНОМУ ВРЕМЕНИ / 01 АВГУСТА 2023 ГОДА

ГОСТЕВАЯ КОЛОНКА Зевса Керравала

Infoblox Inc. недавно опубликовала второй отчет об угрозах, в котором представлены обновления набора инструментов удаленного доступа (RAT) под названием «Decoy Dog», который компания обнаружила в апреле. Для установления командования и контроля Decoy Dog использует систему доменных имен. Компания также подозревает, что это секретный инструмент, используемый национальными государствами для кибератак.

Как только Infoblox сообщил, что знает о RAT — в частности, о разновидности RAT, известной как Pupy, — злоумышленники адаптировались, чтобы обеспечить ее непрерывную работу. Компания заявляет, что продолжает исследования Decoy Dog и Pupy с момента публикации результатов 23 апреля. В своем отчете об угрозах она пишет, что Decoy Dog представляет собой значительное обновление Pupy. Он использует команды и конфигурации, которых нет в общедоступных репозиториях.

Infoblox сообщает, что разработал алгоритмы для разделения клиентских коммуникаций Decoy Dog и определения некоторых других свойств каждого контроллера. Новые алгоритмы подчеркивают то, о чем мы размышляли уже некоторое время: если ваш DNS небезопасен, все ваше предприятие с таким же успехом может оставить входную дверь незапертой. Infoblox имеет коммерчески доступную систему обнаружения и ответа DNS или DNSDR.

DNSDR хорошо оснащен для борьбы с типичной последовательностью атак. Например, злоумышленник может создать вредоносную полезную нагрузку на так называемом этапе создания оружия. Затем он доставляет полезную нагрузку цели, часто посредством фишингового электронного письма.

Затем, когда пользователь нажимает на ссылку, устройство запрашивает подключение к Интернету, и поиск происходит через DNS-сервер. Устройства сетевой безопасности, такие как межсетевые экраны нового поколения и веб-шлюзы, начинают обработку трафика, после чего устанавливается соединение. Как только соединение установлено, полезная нагрузка загружается и выполняется на целевом устройстве.

Первый шаг в этом процессе происходит через DNS. Имея DNSDR, предприятие может устранять угрозы до того, как они повлияют на жизненно важную инфраструктуру. Так было с Decoy Dog и Pupy.

Infoblox сообщает, что изучил ключевые особенности вредоносного ПО и его операторов. Он считает, что существует риск того, что использование Decoy Dog будет расти и затронет широкий круг организаций по всему миру.

«Интуитивно понятно, что DNS должна быть первой линией защиты организаций при обнаружении и смягчении таких угроз, как Decoy Dog», — сказал исполнительный директор Infoblox Скотт Харрелл. «Как показал пример Decoy Dog, изучение и глубокое понимание тактики и методов злоумышленника позволяет нам блокировать угрозы еще до того, как они станут известны как вредоносное ПО».

Защита от таких угроз требует другого подхода. Сосредоточение внимания на типичных целях вредоносного ПО оставляет организациям позади восьмерки. Защита от крыс и собак требует подхода, ориентированного на DNS, особенно с учетом статистики, которую Infoblox привел в своем пресс-релизе: по словам Анны Нойбергер, директора, более 90% атак вредоносных программ используют DNS для установления командования и контроля в целевой сети. Кибербезопасности в Агентстве национальной безопасности. Организации, которые оставляют свои DNS без присмотра, рискуют, что угрозы поселятся в их инфраструктуре и нанесут серьезный ущерб.

Infoblox сообщает, что отслеживает 21 домен Decoy Dog, некоторые из которых были зарегистрированы в течение последнего месяца. Ключевым моментом здесь является то, чтобы организации отслеживали отраслевые исследования и использовали свои DNS в качестве системы раннего предупреждения. Инфоблокс находится в авангарде.

Доктор Рене Бертон, руководитель отдела анализа угроз в Infoblox, выступит с речью в Black Hat в Лас-Вегасе 9 августа. Выступление Рене в этом году должно стать увлекательным обсуждением крыс и собак. И я почти уверен, что между этим и потом будет еще больше событий. Infoblox предоставит участникам уникальный практический опыт работы с набором данных Decoy Dog на выставке Black Hat.