개요
 

• Talos Team, 윈도우 파워쉘 스크립트를 사용하고 DNS TXT 기록 요청 및 응답으로 C&C와 통신하는 악성코드 발견
   

주요내용

 

• 시스템에 파일을 생성하지 않고, 메모리에서 실행되는 파일리스 형태의 악성코드
  ※ DNS TXT : DNS가 텍스트로 된 정보를 전송할 때 사용하는 기록으로 이메일 인증 기능에 주로 사용됨
  - 악성코드 실행을 위해 유명 보안업체를 사칭하여 사용자가 매크로 기능을 사용하도록 유도
  - 이 후 DNS TXT 레코드 내에 저장된 파워쉘을 악용해 압축, 난독화 해제, 백도어 실행 등을 수행
  - 최종적으로, 스크립트에 하드코딩 된 여러 도메인 중 하나의 도메인으로 명령을 주고 받게됨
   

1. DNS 요청을 통해 코드를 읽어 들이므로 감염 시스템에는 기록이 남지 않아 파악하기 어려움
   - 공격이 성공하면 윈도우 커맨드 라인에서의 STDOUT과 STDERR 응답을 MSG 메시지로 전송

 

시사점

• 기존 보안장비가 집중하지 않는 DNS 트래픽 부분을 악용하므로 DNS 쿼리 모니터링/필터링 강화 필요

[출처]
1. TALOS, “Covert Channels and Poor Decisions: The Tale of DNSMessenger”, 2017.3.2
2. SECURITY AFFAIRS, “Talos team spotted a PowerShell malware that uses DNS queries to contact the C2”, 2017.3.3.


작성 : 침해대응단 탐지1팀