Mit Malware-Toolkits wie Decoy Dog und Pupy können Cyberkriminelle das Domain Name System (DNS) für ihre Zwecke missbrauchen, Clients und Server kontrollieren und Daten stehlen. Dieser Report gibt einen detaillierten Einblick in die Funktionsweise solcher Angriffsvektoren und zeigt, wie Sie sich davor schützen können.
Inhalt:
Das Domain Name System (DNS) ist das „Adressbuch“ des Internets. Es übersetzt die Domainnamen von Webseiten in die entsprechenden IP-Adressen. Häufig versuchen Cyberkriminelle das System zu kompromittieren, um beispielsweise Distributed-Denial-of-Service-Attacken (DDoS) durchzuführen, Anwender auf gefährliche Webseiten umzuleiten, Malware einzuschleusen oder Daten zu stehlen.
Ein bekanntes Malware-Toolkit ist der Remote Access Trojaner (RAT) Pupy. dessen primäre Codebasis bereits 2015 auf GitHub veröffentlicht wurde. Im Jahr 2019 wurde der Code um einen DNS-basierten Command-and-Control (C2) -Mechanismus erweitert, der die direkte Übernahme betroffener Clients ermöglicht. Das DNS wird dabei nur für die C2-Kommunikation verwendet, die Datenexfiltration erfolgt über andere Transportwege. Angriffe mit Pupy sind jedoch selten, da das System schwierig zu konfigurieren und zu betreiben ist.
Im April 2023 entdeckten die Sicherheitsspezialisten von Infoblox allerdings ein neues, auf Pupy basierendes Malware-Toolkit namens „Decoy Dog“, das beunruhigende und mysteriöse Eigenschaften aufweist. Im vorliegenden Report analysieren die Experten Pupy und Decoy Dog und geben tiefe Einblicke in deren Funktionsweise.
Sie erfahren unter anderem:
- Warum Decoy Dog eine ernstzunehmende Gefahr darstellt.
- Wie Sicherheitsverantwortliche Angriffe über Pupy und Decoy Dog erkennen können.
- Welche Abwehrmaßnahmen Sie ergreifen sollten.
Originalauszug aus dem Dokument:
HOW PUPY OPERATES
In our previous paper, we gave an overview of Pupy and highlighted some unusual characteristics of Decoy Dog.9 In this paper, we will delve further into the Pupy communication protocol in order to demonstrate its connections to Decoy Dog and how to exploit passively collected Pupy DNS in order to understand an ongoing operation.
Pupy is designed to provide continuous communications between infected clients and the server so that when the actor wants to remotely access the client, the connection is already established. The actor is able to monitor connected clients and selectively command them to provide a wide range of actions. The DNS is used only for C2 communications.
Any significant data exfiltrated from the client is sent over one of the many other transport options offered by Pupy. As a result, the Pupy DNS client is restricted to checking in with the controller, acknowledging commands, providing system information, and a handful of other duties. Between handling commands from the server, the client sleeps.