DNSMessenger是PowerShell脚本多阶段威胁，采用DNS作为与攻击者双向通信的信道。

 

针对性攻击已经脱离了传统恶意软件，转向更隐蔽的技术。这些技术滥用标准系统工具和协议，其中一些还并非总能被检测到。

最近的例子，是名为DNSMessenger的攻击。思科系统Talos团队分析了该攻击，发现其投放方式比较老套，就是用网络钓鱼邮件附带恶意Word文档。

该文档被打开时，会伪装成英特尔旗下迈克菲杀毒软件的“受保护文档”，要求用户点击启用按钮以查看文档内容。但点击动作实际上就是执行内嵌在文档中的恶意脚本。

 

该恶意脚本是用PowerShell写的。PowerShell是Windows自带的脚本语言，功能很强大，可以自动化系统管理任务。有趣的是，到这一阶段为止，所有这一切都是在内存中进行，磁盘上根本没有写入任何恶意文件。

第二阶段同样是用PowerShell完成，涉及检查多个环境参数，比如已登录用户的权限和已安装PowerShell的版本。这些信息被用来确定进入下一阶段的方式，以及如何成功驻留。

取决于第二阶段检查的结果，另一个PowerShell脚本要么被存入NTFS文件系统的交换数据流(ADS)，要么直接写入注册表。第三阶段的PowerShell脚本包含另外的混淆脚本，可基于DNS建立起相当复杂的双向通信信道。

DNS通常用于查询与域名关联的IP地址，但也支持多种记录格式。TXT记录就可在DNS服务器响应中附加无格式文本。

思科Talos团队在博客( http://blog.talosintelligence.com/2017/03/dnsmessenger.html )中写道：“该恶意软件的所有命令与控制(C2)通信，都经由 DNS TXT 查询和响应进行。”

 

攻击者利用该隐秘通信信道发送指令，接收指令执行结果。

公司企业通常会花大力气过滤进出公司网络的HTTP和HTTPS流量，但很少有公司会监测DNS。攻击者清楚这一点，将其他协议封装进DNS协议中来躲避监测。

系统工具的采用，比如PowerShell，以及直接在内存执行的代码，也逐渐成为让攻击检测越来越难的常用技术。

　　该恶意软件是一个极佳的样本，展现出攻击者在目标环境中隐秘行动的意愿强度。同时，除了HTTP/HTTPS、SMTP/POP3之类网络协议，对其他协议的检查和过滤也应引起重视。公司网络中的DNS流量，也应列入攻击者会用来实现完整双向C2基础设施的考虑之中。

(责任编辑：安博涛)