Většina zadních vrátek do systému používá běžné HTTP(S) spojení. Jakmile tedy klepnete na zavirovanou přílohu v e-mailu, do systému se nainstaluje záškodnický klient a ten pak skrze WWW komunikuje s centrálním serverem, který jej konečně úkoluje, co má dělat. Může třeba rozesílat spam a zapojit se do koordinovaného DDoS.
Komunikace schovaná do DNS lookupu
Bezpečnosti experti ze stáje Symantec nicméně nedávno vyčmuchali poměrně novátorský způsob komunikace v botnetu, zachytili totiž virus, který namísto běžného HTTP používá protokol DNS pro překlad internetových domén na IP. Záškodníci jej postavili už na docela letitém projektu dnscat2 z GitHubu.
Nový malware kóduje informace do doménového jména a od záškodníka dostává odpověď pomocí protokolu DNS a ve formě IP adresy, nebo DNS TXT
Takže místo toho, aby se virus spojil s ústředím třeba skrze HTTP a na adrese https://velmi-drsny-malware.com a odeslal mu na začátku třeba nějaký obsáhlý JSON s popisem počítače a jeho slabin, spojí se s překladovým DNS serverem záškodníka a zeptá se:
- Jaká IP adresa patří stroji s doménovým jménem adggrgergrhhhrt.ergrehgeg.ctl.msedgeapi.net?
Ve změti znaků jsou přitom zakódované popisné informace o počítači, které rozumí jen druhá strana.
IP adresa, která obsahuje skryté povely
Záškodníkův DNS server následně odpoví třeba IP adresou:
Tato adresa je přitom fiktivní, v jejím třetím bajtu 141 je totiž opět zakódovaná odpověď, co má klient provést.
Symantecu se podařilo rozluštit tyto operace:
- Zavolej nějaký systémový příkaz
- Stáhni soubor
- Spi po určitou dobu, aby tě nikdo neodhalil
- Vytvoř soubor na počítači
Veškerá pomocná data pro jednobajtové povely čekají na útočníka v dalším DNS dotazu typu DNS TXT.
Malware s exotickou komunikací se podle expertů objevil třeba na Tchaj-wanu a podle Symanteku je nebezpečný hlavně v tom, že zneužití DNS tímto způsobem doposud téměř nikoho nenapadlo, a tak se mu ani nikdo příliš nevěnoval.
