新型恶意软件DecoyDog正大规模入侵DNS
💡
原文中文,约2500字,阅读约需6分钟。
📝
内容提要
安全厂商Infoblox的调查显示,名为DecoyDog的恶意工具包通过DNS从事网络间谍活动已超过1年。目前尚不清楚幕后黑手是谁,但有4个参与者正在利用和开发该恶意软件。Infoblox根据战术、技术和程序(TTP)区分了4个参与者。DecoyDog仍然神秘,需要进一步研究来确定目标和入侵方法。Infoblox建议关注DNS查询和响应,创建了一条YARA规则来检测DecoyDog样本。
🎯
关键要点
- Infoblox的调查显示,DecoyDog恶意工具包通过DNS从事网络间谍活动已超过1年。
- 目前尚不清楚DecoyDog的幕后黑手,但有4个参与者正在利用和开发该恶意软件。
- DecoyDog与俄乌战争有关,活动范围主要限于俄罗斯和东欧地区。
- DecoyDog基于Pupy,可能在受感染设备上下载恶意软件负载并执行命令。
- Infoblox发现了6个异常DNS信标活动的域,作为DecoyDog的命令和控制服务器。
- DecoyDog是Pupy的重大升级,使用Python 3.8,具有更好的Windows兼容性和内存操作。
- DecoyDog的活动显示出目标明确,受影响设备数量仅有几百台,表明其为情报行动。
- DecoyDog增加了地理围栏机制,限制特定地区IP地址的DNS查询响应。
- Infoblox根据战术、技术和程序(TTP)区分了4个参与者,可能有多个参与者对DecoyDog进行了改进。
- DecoyDog的新版本附带域名生成算法(DGA),允许受感染计算机使用第三方DNS服务器。
- DecoyDog的目标、初始入侵方法仍不明确,需要进一步研究。
- Infoblox建议关注DNS查询和响应,并创建了YARA规则来检测DecoyDog样本。
➡️
