DNS 쿼리를 이용해 명령어를 주고받는 파일리스 악성코드

개요   Talos Team, 윈도우 파워쉘 스크립트를 사용하고 DNS TXT 기록 요청 및 응답으로 C&C와 통신하는 악성코드 발견   주요내용   시스템에 파일을 생성하지 않고, 메모리에서 실행되는 파일리스 형태의 악성코드 ※ DNS TXT : DNS가 텍스트로 된 정보를 전송할 때 사용하는 기록으로 이메일 인증 기능에 주로 사용됨 - 악성코드 실행을 위해 유명 보안업체를 사칭하여 사용자가 매크로 기능을 사용하도록 유도 - 이 후 DNS TXT 레코드 내에 저장된 파워쉘을 악용해 압축, 난독화 해제, 백도어 실행 등을 수행 - 최종적으로, 스크립트에 하드코딩 된 여러 도메인 중 하나의 도메인으로 명령을 주고 받게됨   DNS 요청을 통해 코드를 읽어 들이므로 감염 시스템에는 기록이 남지 않아 파악하기 어려움 - 공격이 성공하면 윈도우 커맨드 라인에서의 STDOUT과 STDERR 응답을 MSG 메시지로 전송   시사점 기존 보안장비가 집중하지 않는 DNS 트래픽 부분을 악용하므로 DNS 쿼리 모니터링/필터링 강화 필요 [출처] 1. TALOS, “Covert Channels and Poor Decisions: The Tale of DNSMessenger”, 2017.3.2 2. SECURITY AFFAIRS, “Talos team spotted a PowerShell malware that uses DNS queries to contact the C2”, 2017.3.3.