Home Reti & Mobile DnsMessenger, malware invisibile

DnsMessenger, malware invisibile

2 minuti di lettura
0
278
Canale Sicurezza - dnsmessenger

DnsMessenger è il nuovo agente patogeno che sfrutta gli standard di rete e le shell di nuova generazione per aggirare i controlli di sicurezza delle infrastrutture informatiche senza operare sul file system del disco di sistema.

Individuato dagli esperti di Talos, società dell’ecosistema Cisco, DnsMessenger è un malware fileless: non scrive mai file fisici sul disco ma agisce in memoria, ed è progettato per abusare di alcune delle caratteristiche meno note dei server del Domain Name System.

Il tutto a partire da un file di Word ricevuto come allegato e-mail; una volta aperto il documento, il malware manda in esecuzione una serie di script scritti per PowerShell.

Più nel dettaglio, lo script malevolo si assicura la permanenza al riavvio del sistema salvando un altro script in un flusso ADS (Alternate Data Stream) del file system NTFS o direttamente nel Registro di Windows.

Lo script principale del malware si occupa invece di istituire un canale di comunicazione bidirezionale attraverso il sistema DNS, un tipo di traffico che non viene generalmente classificato come potenzialmente pericoloso ma che permette di inviare piccole query in standard testuale, attraverso cui i cybercriminali possono agire da remoto.

Altri articoli correlati
Altri articoli da Redazione
Altri articoli in Reti & Mobile

Leggi anche

Crowdsourced ITA. Ancora su ObserveIT.

Crowdsourced ITA. Ancora su ObserveIT. Molte aziende si concentrano sulla sicurezza ineren…