Piovono RAT e cani, con il DNS come obiettivo: come Infoblox sta rispondendo agli adattamenti di Decoy Dog

Jul 15, 2023

AGGIORNATO 18:37 EDT / 1 AGOSTO 2023

COLONNA OSPITI di Zeus Kerravala

Infoblox Inc. ha recentemente pubblicato un secondo rapporto sulle minacce per fornire aggiornamenti sul toolkit di accesso remoto, o RAT, chiamato "Decoy Dog", scoperto dall'azienda ad aprile. Per stabilire comando e controllo, Decoy Dog utilizza il Domain Name System. L'azienda sospetta anche che si tratti di uno strumento segreto utilizzato dagli stati nazionali negli attacchi informatici.

Una volta che Infoblox ha rivelato di essere a conoscenza del RAT (nello specifico, di una variante del RAT nota come Pupy), gli autori della minaccia si sono adattati per garantirne il funzionamento continuo. L'azienda afferma di aver continuato a ricercare Decoy Dog e Pupy sin dalla pubblicazione dei suoi risultati il ​​23 aprile. Nel suo rapporto sulle minacce si scrive che Decoy Dog rappresenta un aggiornamento significativo per Pupy. Utilizza comandi e configurazioni che non si trovano nei repository pubblici.

Infoblox riferisce di aver sviluppato algoritmi per separare le comunicazioni del client Decoy Dog e dedurre diverse altre proprietà su ciascun controller. I nuovi algoritmi sottolineano qualcosa a cui pensavamo da tempo: se il tuo DNS non è sicuro, l’intera azienda potrebbe anche lasciare la porta di casa aperta. Infoblox dispone di un sistema di rilevamento e risposta DNS disponibile in commercio o di un sistema DNSDR.

DNSDR è ben attrezzato per gestire la tipica sequenza di attacco. Ad esempio, un utente malintenzionato potrebbe creare un payload dannoso nella cosiddetta fase di armamento. Quindi consegna il carico utile a un bersaglio, spesso tramite un'e-mail di spear phishing.

Quindi, quando un utente fa clic sul collegamento, il dispositivo richiede una connessione alla posizione Internet e la ricerca avviene tramite un server DNS. I dispositivi di sicurezza della rete come firewall e gateway web di nuova generazione iniziano a elaborare il traffico e successivamente viene stabilita la connessione. Una volta stabilita la connessione, il payload viene scaricato ed eseguito sul dispositivo di destinazione.

Il primo passo in questo processo avviene tramite DNS. Con il DNSDR in atto, un'azienda può eliminare le minacce prima che colpiscano un'infrastruttura vitale. Questo è stato il caso di Decoy Dog e Pupy.

Infoblox afferma di aver appreso le caratteristiche principali del malware e degli operatori. Ritiene che esista il rischio che l’uso di Decoy Dog cresca e colpisca un’ampia gamma di organizzazioni in tutto il mondo.

"È intuitivo che il DNS debba essere la prima linea di difesa per le organizzazioni per rilevare e mitigare minacce come Decoy Dog", ha affermato Scott Harrell, amministratore delegato di Infoblox. "Come dimostrato con Decoy Dog, studiare e comprendere a fondo le tattiche e le tecniche dell'aggressore ci consente di bloccare le minacce prima ancora che vengano conosciute come malware."

La difesa da tali minacce richiede un approccio diverso. Concentrarsi sugli obiettivi tipici del malware lascia le organizzazioni dietro la palla otto. Proteggersi dai RAT e dai cani richiede un approccio incentrato sul DNS, soprattutto considerando la statistica citata da Infoblox nel suo comunicato stampa: oltre il 90% degli attacchi malware sfrutta il DNS per stabilire comando e controllo su una rete presa di mira, secondo Anne Neuberger, direttrice. di Cybersecurity presso la National Security Agency. Le organizzazioni che lasciano incustodito il proprio DNS rischiano che le minacce risiedano nella loro infrastruttura e causi gravi danni.

Infoblox afferma che sta monitorando 21 domini Decoy Dog, alcuni registrati nell'ultimo mese. La chiave qui è che le organizzazioni monitorino la ricerca di settore e utilizzino i propri DNS come sistema di allarme precoce. Infoblox è all'avanguardia.

La dottoressa Renée Burton, responsabile dell'intelligence sulle minacce presso Infoblox, parlerà al Black Hat di Las Vegas il 9 agosto. Il discorso di quest'anno di Renée dovrebbe essere un'affascinante discussione sui RAT e sui cani. E sono abbastanza sicuro che da qui ad allora ci saranno ancora più sviluppi. Infoblox offrirà ai partecipanti un'esperienza pratica unica per lavorare con un set di dati di Decoy Dog allo spettacolo Black Hat.