研究：PowerShell木马让DNS查询沦为骇客联系管道

思科旗下的威胁情报部门 Cisco Talos上周公布 一新的无档案远端存取木马程式，它以PowerShell指令展开攻击，并利用域名名称服务与骇客所掌控的C&C服务器通讯。

该木马是今年2月由安全研究人员Simpo透过Twittter揭露，由于Simpo发现恶意程式代码中点名了思科的安全产品SourceFire，吸引Talos展开进一步的研究。

DNS为企业网路中最常见的网路应用协定之一，它提供域名解析服务，以让使用者可经由域名名称而非IP位址存取网站，尽管许多企业会过滤网路流量并制定防火墙政策，但对于DNS威胁的保护却相对薄弱，而让骇客有机可趁。

Talos分析了该木马，显示它利用针对DNS TXT文字记录的查询及回应来建立与C&C服务器的双向通道，于是骇客便能利用DNS通讯来提交新的指令，以于受感染的机器上执行，并将执行结果回报给C&C服务器。

Powershell为一可自动执行任务与进行配置管理的介壳程式，骇客将恶意的Powershell嵌入Word文件中，当使用者开启文件并启用巨集后，该木马即展开4个阶段的感染行动，它会先修改注册表并检查Powershell版本，倘若受骇使用者具备管理权限，木马便会把自己加入Windows Management Instrumentation中，成为就算重开机都会继续存在的常驻木马。

之后，它会定期传送DNS请求给代码中内建的域名，取得该域名的DNS TXT记录，该记录内含了其他的Powershell指令，并会在受感染的电脑上直接执行，骇客唯一要做的是在这些域名的DNS TXT记录中留下各种指令。危险的是，藉由DNS请求取得的Powershell指令从未被写入本地系统，因此也无从侦测。

有鉴于此一木马程式的设计是如此精细，Talos推测它只被用在少数的目标对象上，且迄今尚未确定其意图，除非企业监控了DNS流量，否则这类的感染也许永远不会被发现。