Blick

Glimpse ist ein neu aufgedecktes Hacking-Tool, von dem angenommen wird, dass es die Erstellung der OilRig-Gruppe ist. Diese Hacking-Gruppe ist auch als APT34 (Advanced Persistent Threat) bekannt und stammt aus dem Iran. Malware-Forscher sind bereits seit einiger Zeit mit der OilRig-Hacking-Gruppe vertraut und sie sind als hochqualifiziert und sehr bedrohlich bekannt. Die Glimpse-Malware ist sehr interessant aufgebaut. Die Glimpse-Bedrohung verwendet das DNS-Protokoll, anstatt die üblichen und verrauschten FTP- oder HTTP-Verbindungen zu verwenden. Ungeachtet dessen, dass das Geräusch des schädlichen Betriebs erheblich reduziert wird, weist es auch einige erhebliche negative Seiten auf. Die Verwendung des DNS-Protokolls beeinträchtigt die Möglichkeiten der Glimpse-Bedrohung erheblich. Der Grund dafür ist, dass diese Methode nur bestimmte Zeichen unterstützt und nur eine begrenzte Datenmenge übertragen werden kann, wodurch die Malware beeinträchtigt wird.

Die vier primären Datensatztypen

Es gibt vier Hauptdatensätze, die vom DNS-Protokoll unterstützt werden:

  • CNAME-Einträge (Canonical Name) - Sie verbinden einen bestimmten Hostnamen mit der Domäne oder Unterdomäne.
  • TXT-Datensätze - Dient zum Speichern von unterschiedlichem Text, der normalerweise mit Domain-Informationen wie Adresse, Name, Kontakt usw. oder Daten zur Überprüfung (wie den Sender Policy Framework-Daten) verknüpft ist.
  • A Datensätze - Der grundlegende Datensatztyp, mit dem eine bestimmte IP-Adresse mit einer Domäne oder Unterdomäne verbunden wird.
  • MX (Mail Exchange) -Datensätze - Dienen demselben Zweck wie A-Datensätze, besitzen jedoch eine Prioritätsfunktion, die einen sekundären Mailserver bestimmt, falls der primäre nicht funktioniert.

Cybersicherheitsforscher haben festgestellt, dass die OilRig-Hacking-Gruppe in ihrer Bedrohungskampagne bisher den TXT-Typ und den A-Datensatz-Typ verwendet hat, wobei der A-Datensatz als vorrangige Methode dient. Die OilRig-Gruppe hat die DNS-Abfragen für TXT-Einträge angepasst, verwendet jedoch auch vorgefertigte DNS-Abfragen für die A-Einträge.

Das Erstellen einer Bedrohung, die das DNS-Protokoll verwendet, ist sicherlich keine leichte Aufgabe, da die Betrüger sehr kreativ und erfinderisch sein müssen, um trotz ihrer eingeschränkten Fähigkeiten eine funktionsfähige und schädliche Bedrohung zu erstellen. Es wurde noch nicht bekannt gegeben, wofür die OilRig-Gruppe die Glimpse-Malware einsetzt, aber Sie können sicher sein, dass wir auch in Zukunft von diesen bedrohlichen Kampagnen hören werden.

Verbundener Beitrag

Im Trend

Am häufigsten gesehen

Wird geladen...