Анализ DNS-запросов показывает неплохой потенциал в выявлении новых киберпреступных методов.
После очередной проверки аномального DNS-трафика, отличающегося от обычной интернет-активности, специалистами компании Infoblox был обнаружен новый набор вредоносных программ для предприятий под названием «Decoy Dog».
Decoy Dog помогает злоумышленникам обходить стандартные методы обнаружения за счёт стратегического «устаревания доменов» и клонирования DNS-запросов для создания хорошей репутации у поставщиков средств безопасности.
Исследователи из Infoblox обнаружили данный инструментарий в начале этого месяца в рамках ежедневного анализа более 70 миллиардов DNS-записей для поиска признаков подозрительной активности.
Специалисты сообщают, что DNS-отпечаток Decoy Dog чрезвычайно редок и уникален среди 370 миллионов активных доменов в Интернете, что резко упрощает его идентификацию и отслеживание. Поэтому расследование вредоносной инфраструктуры Decoy Dog быстро привело к обнаружению нескольких C2-серверов, которые были связаны с одной и той же операцией.
Дальнейшее расследование показало, что DNS-туннели обнаруженных доменов имели характеристики, указывающие на Pupy RAT, троян удаленного доступа, развернутый набором инструментов Decoy Dog.
Pupy RAT — это модульный набор инструментов для постэксплуатации с открытым исходным кодом, популярный среди спонсируемых государством злоумышленников за свою скрытность, поддержку зашифрованных C2-коммуникаций и помощь в объединении и координации действий с другими пользователями данного инструмента.
Проект Pupy RAT поддерживает полезные нагрузки во всех основных десктопных и мобильных операционных системах, включая Windows, macOS, Linux и Android. Как и другие RAT, он позволяет злоумышленникам удаленно выполнять команды, повышать привилегии, красть учётные данные и распространяться по скомпрометированной сети.
«Эта сигнатура, состоящая из нескольких частей, вселила в нас уверенность в том, что связанные домены не просто использовали Pupy. Все они были частью Decoy Dog — большого единого набора инструментов, который очень специфическим образом развёртывал Pupy на предприятиях», — говорится в отчете Infoblox.
Кроме того, аналитики обнаружили отличающееся поведение DNS-маяков на всех доменах-приманках, настроенных на следование определенному шаблону периодического, но нечастого создания DNS-запросов.
Расследование деталей показало, что операция Decoy Dog стартовала ещё в начале прошлого апреля и оставалась незамеченной более года. Даже несмотря на то, что домены этого инструментария показывают крайние выбросы в аналитике.
Компания Infoblox перечислила домены Decoy Dog в своём отчете и добавила их в свой список «Подозрительные домены», чтобы помочь защитникам, аналитикам безопасности и целевым организациям защититься от этой изощренной угрозы.
Компания также поделилась индикаторами компрометации в своем общедоступном репозитории GitHub, который можно использовать для ручного добавления в чёрные списки.
Обнаружение Decoy Dog демонстрирует возможности использования крупномасштабного анализа данных для обнаружения аномальной активности на просторах Интернета, что в будущем позволит быстрее находить подобного рода угрозы.