执行摘要
借助Kryptos逻辑的初始报告,Domaintools的研究人员说明了如何与无源DNS和基础架构可观察到的基础架构数据中的锚定C2一起寻找,以准确识别这些C2。通过此过程,他们发现了初始报告中未发现的另外四个C2域。
锚定背景
Anchordns是最常用的后门Trickbot追随他们最珍贵的受害者时。作为一种渗透工具,Anchordns使用DNS进行C2通信以及数据的去渗透。这仍然非常有效,因为大多数组织不会过滤其出口DNS流量。
上周,Kryptos Logic的研究人员出版了文章在最新的锚定和一个名为“锚式调节器”的新工具的更改中,该工具使攻击者使用Exflatration工具可以即时调整配置,以进一步逃避。随着该工具,恶意软件与C2通信以及使检测更加困难的新编码的方式发生了变化。这一切都是从钴罢工,今天经营的许多威胁参与者所爱的商业工具。
狩猎锚定
Kryptos Logic可以很好地分解操作的变化,并全面详细地写出,如果您是捍卫这些样本,则值得阅读的各种疑问和响应。通过对样品的分析,Kryptos逻辑找到了以下C2域:
farfaris [。] com kalarada [。] com xyskencevli [。] com sluaknhbsoe [。] com jetbiokleas [。] com nyhgloksa [。] com
DiMaintools的研究人员正在寻找通过我们每天对互联网进行互联网检测新C2的方法,在阅读本报告时会注意到一个有趣的变化,我们将涉及:C2的睡眠和重试响应。当Anchordns C2成功接收机器人的命令时,C2响应了自己的IP地址。此外,当C2无法响应时,响应将为239.255.255 [。] 255,它告诉机器人在配置的时间内睡觉并稍后重试。通常,224.0.0.0/4以下的地址保留多播不应以这种方式在DNS响应中看到。这使得在被动DNS中寻找它们,并随后根据其查询标签验证所得域与匹配的锚定编码方案匹配的域而不是微不足道。
由于编码方案,这些查询最终会有很多噪音。实际上,如果我们单独查询远见的被动DNS,以了解与该锚定变量活跃的时间范围内我们查询的结果数量,我们会看到超过130,000个查询和响应对。
为了降低噪声,我们只能通过第二级域(SLD)过滤它们。IRIS调查会在被动DNS接口的右下方中使用“将域向枢轴引擎发送到Pivot引擎”按钮自动为您提供此操作。一旦进入枢轴引擎,就有许多新的潜在C2域:
limeal [。] com muncuc [。] com newarg [。] com tuxomibo [。] com
如果我们从原始的Kryptos逻辑报告中检查了这些域与已知域一起检查,我们会发现已知域已经被Domaintools风险分数引擎评分为100或在区块列表上。其他新的C2域处于不同的风险状态,有些人足够高以至于令人震惊,而另一些则完全在雷达下飞行。
其他观察
由于Domaintools研究人员喜欢将所有妥协指标(IOC)视为复合对象,除了在被动DNS中发现的噪声和响应对之外,还有其他一些元素,这些元素和响应对构成了该C2基础设施,这些基础设施将来可以用于狩猎C2。这些额外的要素很重要,因为它们是这些新样本如何工作以构成确定基础架构的更强大方法的基础。
与我们的个人资料相匹配的该集合中最古老的域是muncuc [。] com,直到撰写本文的时间不到一年的记录。这告诉我们,在寻找这些结果套装时,研究人员可以在寻找新的C2基础架构时到去年,并且较旧的基础设施保持活跃。
接下来,使用了各种各样的托管提供商,但是结肠骨骼(AS36532),绿色FLOID(AS50979)和拥有的网络(AS40676)存在重叠。这表明偏好可用于缩小潜在检测的范围,然后进一步向上移动疼痛金字塔并分析样本以发现DNS查询的特定自定义编码。
最后,A记录的IP与指向NS1的两个NS记录的IP相同。[domain] .com和ns2。[domain] .com。这是有道理的,并且是执行DNS隧道的恶意基础设施的要求。如果不控制名称服务器,攻击者就无法具有解析和用命令响应消息所需的其他逻辑。实际上,这通常是一个快速的指示,即域是恶意的,因为如今大多数合法团体选择将其DNS基础架构外包到许多不同的云服务,以使管理变得容易且程序化。
要点
被动DNS之类的数据集是狩猎C2通信的理想选择,该C2通信由于攻击者所需的庞大的查询和响应对而利用DNS进行渗透。虽然这些数据可在公共数据集中获得,例如四个被动DNS提供商Domaintools Iris调查,使用免费和开源工具的类似设置,例如Circl的D4项目可以被动监视您自己的基础架构中的DNS查询很有用,并且对于揭示在被动DNS上运行的恶意软件有用。
此外,在虹膜研究中发现的域数据可用于进一步验证任何表现为潜在C2通信的域。攻击者必须控制DNS去渗透和信号传导的全部名称服务器,因此C2域的NS记录在确定域的意图时始终是一个有用的信号。
虹膜哈希包含所有已知C2
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