根据被动 DNS 流量分析,很难确定DecoyDog客户端的准确数量,这将表明受影响设备的数量,但 Infoblox 在任何一个控制器上观察到的最大活跃并发连接数不到 50 个,最小的只有 4 个。Burton预估,目前被入侵设备的数量仅有几百台,表明目标非常小,是典型的情报行动。
在Infoblox披露DecoyDog后,该恶意软件开始增加地理围栏机制,限制控制器域对来自特定地区 IP 地址的 DNS 查询响应。
Infoblox发现其中一些服务器只有通过俄罗斯 IP 地址DNS 查询时才会响应,而其他服务器则会响应来自任何地点的任何格式良好的查询。这可能意味着受害者位于俄罗斯,但攻击者也可能选择将受害者流量路由到该地区作为诱饵或将查询限制为相关查询。Burton 倾向于前者,认为DecoyDog 的行为类似于 Pupy,并使用默认的递归解析器连接到 DNS。由于在现代网络中改变这一系统相当具有挑战性,因此这些受害者很可能在俄罗斯或邻近国家(也可能通过俄罗斯路由数据)。
TTP 指向多个参与者
Infoblox 根据观察到的战术、技术和程序 (TTP) 来区分操作DecoyDog的4个参与者。然而,他们似乎都会响应与DecoyDog或 Pupy 格式匹配正确的查询。
Burton指出,这种奇怪的行为可能是有意为之,但即使作为密码学家、情报人员和数据科学家,拥有丰富的经验,她也无法归结清楚具体的原因。如果有多个 DecoyDog参与者的理论属实,那么可能有两个参与者用新功能对其进行了改进。
根据 Burton 的说法,4个参与者中有一个拥有公共存储库中最先进的 DecoyDog 版本 ,其客户端连接到控制器 claudfront[.]net。该参与者中的另一个控制器为maxpatrol[.]net,但没有观察到连接行为,这可能与 Positive Technologies 的漏洞和合规管理系统类似。Positive Technologies 是一家俄罗斯网络安全公司,因贩卖国家支持的黑客组织使用的黑客工具和漏洞利用程序在 2021 年受到美国制裁。
Infoblox 指出,DecoyDog的新版本附带了域名生成算法 (DGA)充当紧急模块,如果恶意软件长时间无法与其 C2 服务器通信,则允许受感染的计算机使用第三方 DNS 服务器。从第三个版本开始,DecoyDog提供了广泛的持久性机制,表明其目的是以窃取情报为主,而非出于经济动机或者是红队工具。
DecoyDog尚存诸多疑点
目前,DecoyDog仍然比较神秘,需要进行额外的研究来确定目标、初始入侵方法(例如供应链、已知漏洞、目标设备中的零日漏洞)以及是如何进入网络的。
尽管 Infoblox 得到了信息安全社区(来自主要英特尔供应商、政府机构、威胁研究小组和金融组织)的支持,但该恶意软件的检测结果或其全部范围尚未公开披露。
Infoblox 建议防御者注意,Decoy Dog 和 Pupy 中的 IP 地址代表加密数据,而不是用于通信的真实地址,并关注 DNS 查询和响应,因为它们可以帮助跟踪恶意软件活动。
该公司还创建了一条 YARA 规则,可以检测研究人员自 7 月以来观察到的 DecoyDog 样本,并与公共版本的 Pupy进行区分。 |
