DNS TXT kaydı, etki alanı yöneticilerinin başlangıçta insan tarafından okunabilen notlar için DNS’ye metin girmesine olanak tanır, ancak şimdi aşağıdakiler gibi çeşitli amaçlar için kullanılmaktadır:-
- Spam önleme
- Alan sahipliği doğrulaması
Spam e-posta gönderenler, tespit edilmekten kaçınmak için etki alanlarını gizler, ancak sunucular e-postaları, anahtar öğe olarak DNS TXT kaydını kullanarak doğrular.
Ayrıca, alan sahipleri, belirli bilgiler içeren bir TXT kaydı yükleyerek veya mevcut olanı değiştirerek sahipliklerini doğrulayabilirler.
AhnLab’dan ASEC, algılama ve analiz amaçları için önem taşıyan nadir bir teknik olan kötü amaçlı yazılım yürütmede DNS TXT Kayıtlarının kullanıldığını onayladı.
Kötü amaçlı yazılım kullanarak yürütme DNS TXT Kayıtları
Kötü amaçlı yazılım, DNS TXT kayıtlarını farklı bir şekilde, daha önce bahsedilen yaygın yöntemden ziyade orijinal DNS ile ilgili bilgileri girme amacına daha yakın bir şekilde kullanır.
Bir kimlik avı e-postası, PowerPoint eklenti (PPAM) dosyasıyla birlikte sahte bir “Sipariş Sorgusu” içeriyordu. PPAM dosyalarının kullanıcı tanımlı makroları ve VBA kodu vardır ve PowerPoint makrosunun çalıştırılması PowerShell’in nslookup yönetim aracını tetikledi.
PPAM dosyası içinde, makro kodu basittir ve yürütüldüğünde, DNS TXT kaydını sorgulayarak nslookup için PowerShell’i çalıştırır. Tehdit aktörü, sonraki işlemleri için komutu DNS TXT kaydına dahil etti.
Tehdit aktörünün alt süreçler üzerinde birden çok denemesi, kötü amaçlı yazılımdan koruma çözümlerine ve diğer ilgili ürünlere karşı bir kaçınma stratejisi önerir.
Tehdit aktörünün sunucusunun (abena-dk) DNS TXT kaydını analiz etme[.]cam), tipik DNS TXT kaydı amaçlarından sapan benzersiz bir veri çıktısı ortaya çıkarır.
Tehdit aktörünün alt alan adlarıyla deneyler yaptığını, hesap makinesini (calc.exe) çalıştırdığını ve JavaScript (js) dosyaları yerine VBScript (.vbs) dosyalarını kullandığını gösteriyor.
Tehdit aktörü, DNS TXT kaydına PowerShell komutları yükleyerek nslookup sorgusu üzerine yürütmeyi etkinleştirerek keşfedilmemiş bir yöntem kullandı.
Bu yaklaşım, PowerShell komutlarını doğrudan makro koduna yazma şeklindeki geleneksel uygulamadan farklıydı ve kötü amaçlı yazılım yürütülmesine izin verdi.
meth.js olarak kaydettikten sonra, methewPayload.js dosyasının PowerShell URL’si, dosyayı yürütmek için wscript.exe ile birlikte kullanılır ve ardından harici bir URL’den Base64 kodlu bir DLL ikili dosyası indirir.
Bu kötü amaçlı yazılım türü yeni değil, daha çok Hagga (Aggah) bilgisayar korsanlığı grubundan geliyor ve 2021’in sonlarından beri dolaşımda.
TTP analizine göre, tehdit aktörü aşağıdakiler de dahil olmak üzere çeşitli yöntemler kullandı:-
- Belgeleri kötü amaçlı makrolarla dağıtma
- Karakteristik .NET kod öğelerini kullanma
- StrReverse işlevini kullanma
- Ek kötü amaçlı dosyalar indiriliyor
- Ek kötü amaçlı dosyaları yürütme
İndirilen dosya bir AgentTesla olarak tanımlanmış olsa da, bu bir . NET tabanlı Bilgi Hırsızı.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.