原文:https://securelist.com/blog/research/78203/use-of-dns-tunneling-for-cc-communications/

• Yunakovsky

– Say my name.

– 127.0.0.1!

– You are goddamn right.

网络通信是任何恶意程序的关键功能。是的，有例外，如cryptors和ransomware木马，可以做他们的工作，没有使用互联网。然而，他们也要求他们的受害者与威胁演员建立联系，以便他们可以发送赎金并恢复他们的加密数据。如果我们省略这两个，并且看看与C＆C和/或威胁演员没有任何沟通的恶意软件的类型，所有这些都是一些过时的或灭绝的恶意软件家族（如Trojan-ArcBomb）或不相关的，粗暴制作的恶作剧通常只是用尖叫或切换鼠标按钮吓倒用户。

恶意软件自Morris蠕虫以来已经走了很长的路，作者从不停止寻找新的方式来保持与他们的创作交流。一些创建复杂的多层认证和管理协议，可能需要数周甚至数月的时间才能使分析人员进行破译。其他人回到基础，并使用IRC服务器作为管理主机 - 正如我们在最近的未来的例子中看到的，它的众多克隆。

通常，病毒编写者甚至不打扰运行加密或掩盖他们的通信：指令和相关信息以纯文本发送，这对于分析机器人的研究人员来说非常方便。这种方法是无能的网络犯罪分子的典型代表，甚至是经验丰富的程序员，他们没有太多开发恶意软件的经验。

但是，您会得到不属于上述类别的偶尔的墙外方法。例如，卡巴斯基实验室研究人员在3月中旬发现了一个特洛伊木马案例，并建立了与C＆C服务器进行通信的DNS隧道。

卡巴斯基实验室产品被恶意程序检测为Backdoor.Win32.Denis。该木马允许入侵者操纵文件系统，运行任意命令并运行可加载的模块。

加密

就像许多其他木马一样，Backdoor.Win32.Denis从加载的DLL中提取需要操作的功能的地址。但是，该木马程序不是计算导出表中的名称的校验和（通常发生的情况），而是简单地将API调用的名称与列表进行比较。通过从功能名称的每个符号中减去128来加密API名称列表。

应该注意的是，机器人使用两个版本的加密：对于API调用名称及其操作所需的字符串，它从每个字节减法;对于DLL，它从每隔一个字节减去。要使用其名称加载DLL，使用LoadLibraryW，意味着需要宽字符串。

使用DNS隧道进行C＆C通信

“解密”木马中的字符串

使用DNS隧道进行C＆C通信

加密格式的API函数和库的名称

还应该注意的是，只有一些功能被这样解密。在木马身体中，对提取的功能的引用与对从加载程序接收到的功能的引用交替。

C&C Communication

DNS隧道运营的原理可以归结为：“如果你不知道，请问别人”。当DNS服务器收到要解析的地址的DNS请求时，服务器开始在其数据库中查找。如果没有找到记录，则服务器向数据库中指定的域发送请求。

当请求到达时，让我们看看如何工作，并将URL解析为Y3VyaW9zaXR5.example.com。 DNS服务器收到此请求，首先尝试找到域扩展名“.com”，然后找到“example.com”，但是在其数据库中找不到“Y3VyaW9zaXR5.example.com”。然后它将请求转发到example.com，并询问它是否知道这样的名称。作为回应，example.com预计将返回相应的IP;然而，它可以返回任意字符串，包括C＆C指令。

使用DNS隧道进行C＆C通信

后门的转储.Win32.Denis交通

这就是Backdoor.Win32.Denis所做的。 DNS请求首先发送到8.8.8.8，然后转发到z.teriava [。] com。在此地址之前的所有内容都是发送到C＆C的请求的文本。

这是响应：

使用DNS隧道进行C＆C通信

响应第一个请求收到的DNS数据包

显然，发送给C＆C的请求使用Base64加密。原始请求是一个零序列，最后是GetTickCount的结果。机器人随后收到其唯一的ID，并在数据包的开头使用它进行识别。

在第五个DWORD中发送指令编号，如果从上图中突出显示为绿色的部分开始计数。接下来是从C＆C收到的数据的大小。使用zlib打包的数据在此之后立即开始。

使用DNS隧道进行C＆C通信

解压缩的C＆C响应

前四个字节是数据大小。接下来的所有内容都是数据，这可能会根据指令的类型而有所不同。在这种情况下，它是机器人的唯一ID，如前所述。我们应该指出，数据包中的数据是大端格式的。

使用DNS隧道进行C＆C通信

在发送到C＆C的每个请求的开始，说明了bot ID（突出显示）

C＆C说明

总共有16条指令，特洛伊木马可以处理，尽管最后一条指令的编号是20.大多数指令涉及与被攻击的计算机的文件系统的交互。此外，还有能力获取有关打开窗口的信息，调用任意API或获取有关系统的简要信息。让我们更详细地研究一下这些，因为这个指令是先执行的。

使用DNS隧道进行C＆C通信

完整的C＆C指示清单

使用DNS隧道进行C＆C通信

有关受感染计算机的信息，发送到C＆C

从上面的截图可以看出，漫游器将计算机名称和用户名发送到C＆C，以及存储在注册表分支中的信息Software \ INSUFFICIENT \ INSUFFICIENT.INI：

最后一次执行该指令的时间。 （如果第一次执行，返回“GetSystemTimeAsFileTime”，并且设置变量BounceTime，其中写入结果）;

UsageCount来自同一个注册表分支。

还会发送有关操作系统和环境的信息。该信息是在NetWkstaGetInfo的帮助下获得的。

数据使用zlib打包。

使用DNS隧道进行C＆C通信

Base64加密之前的DNS响应

响应中的字段如下（只有红色突出显示的部分，数据和大小根据指令而有所不同）：

Bot ID;

以前的C＆C响应的大小;

C＆C回应中的第三个DWORD;

总是等于1作为回应;

GetTickCount（）;

指定字段后的数据大小;

响应大小;

实际回应

注册阶段完成后，木马开始以无限循环查询C＆C。当没有发送指令时，通信看起来像一系列空的查询和响应。

使用DNS隧道进行C＆C通信

发送到C＆C的空查询的顺序

结论

由Backdoor.Win32.Denis使用的DNS隧道用于通信是非常罕见的，尽管不是唯一的。以前在某些POS木马程序和某些APT中使用了类似的技术（例如PlugX系列中的Backdoor.Win32.Gulpix）。然而，这种DNS协议的使用在PC上是新的。我们假设这种方法可能会变得越来越受恶意软件作者的欢迎。我们将密切关注今后如何在恶意程序中实施该方法。