DNS ist nicht mehr nur Auflösung: ClickFix überrascht mit DNS-Antworten, um PowerShell zu betreiben und einen RAT zu verteilen

Wir haben kürzlich eine störende Variation der bereits bekannten "ClickFix"-Kampagnen gesehen: Kriminelle verwenden DNS-Antworten als Kanal, um bösartigen Code zu liefern. Anstatt eine ausführbare Datei mit HTTP herunterzuladen oder das Opfer zu überzeugen, ein PowerShell-Skript direkt einzufügen, bitten Angreifer die Person, eine DNS-Abfrage an einen von ihnen gesteuerten Server auszuführen; die Antwort enthält das zweite Szenario - eine Power Shell Befehl - das läuft auf der Opfermaschine. Nach Microsoft-Forschern ist dies das erste Mal, dass DNS als Kanal in dieser Art von Kampagne dokumentiert wurde.

Der Vektor ist überraschend einfach und gefährlich für seine Stealth: der Benutzer wird getäuscht, um die Run Windows Box zu öffnen und einen nslookup Befehl ausführen, der auf einen bösartigen DNS-Server zeigt. Die DNS-Antwort beinhaltet im Feld "NAME" eine Text-Payload - eine Power Shell Befehl - der dann vom Systemkommando-Interpreter aufgerufen wird. Diese zweite Phase, einmal gestartet, laden Sie ein ZIP mit einer Python Laufzeit und schädliche Skripte, die Computer- und Netzwerkerkennung durchführen, installieren Sie Persistenzmechanismen und schließlich einen Remote Access Trojan (RAT), identifiziert in der Analyse als ModeloRAT.

Microsoft dokumentierte diese Beobachtung in einer kürzlich veröffentlichten Veröffentlichung auf seinem Intelligenzkanal, wo sie erklären, dass Angreifer ausdrücklich die Opfer bitten, eine benutzerdefinierte DNS-Beratung durchzuführen und aus dem Feld "Name:" die nächste Stufe des Angriffs zu entfernen. Hier sehen Sie den originalen Microsoft Thread in seiner Veröffentlichung: Microsoft Threat Intelligence in X. Für diejenigen, die sicher spielen wollen, wie eine ähnliche Abfrage aussehen würde, gegen einen bestimmten Server, gibt es öffentliche Werkzeuge wie die Schnittstelle Das ist eine gute Idee., die zeigen, wie eine DNS-Antwort strukturiert ist.

Warum DNS verwenden? Weil es ein Kanal ist, der oft unbemerkt geht: Namensauflösung ist eine grundlegende und konstante Funktion in Netzwerken, und viele Organisationen nicht inspizieren den Inhalt von DNS-Antworten im gleichen Detail wie HTTP (S)-Verkehr. Darüber hinaus können durch die Bereitstellung von Textbefehlen in DNS-Aufzeichnungen Schauspieler die Nutzlast auf dem Go verändern und URL-Filter oder Blockaden auf Webservern entfernen. Aus technischer Sicht passt dies zu dokumentierten Techniken in Bedrohungs-Geheimdiensten, die den Missbrauch von Anwendungsprotokollen wie DNS für Befehls- und Kontrollkommunikation beschreiben ( MITRE ATT & CK - DNS als Anwendungskanal)

Die von Microsoft beschriebene Kampagne folgte einem klassischen ClickFix-Muster, aber mit neuen Nuancen. Traditionell basiert ClickFix auf Social Engineering: Das Opfer erhält überzeugende Anweisungen, um Befehle auszuführen, die "fix" etwas - ein Update, eine Genehmigung, ein vermeintliches Versagen - und so installiert bösartigen Code. In diesem Fall fragte der Trick nach sehr konkreten Aktionen im Zusammenhang mit einer DNS-Beratung, die zeigt, wie Angreifer die Technik erleben und anpassen, um Kontrollen zu umgehen und ihre Erfolgsquote zu erhöhen.

Diese Entwicklung ist Teil eines breiteren Trends: In den letzten Monaten haben Varianten herausgefunden, dass die Verwendung von App-V-Skripten unter Windows, BSOD falschen Bildschirmen, Missbrauch der CLI Azure zu entführen Sitzungen ohne Passwort (die Kampagne identifiziert als "ConsentFix"). Kampagnen mit gemeinsamen Seiten von Sprachmodellen (z.B. ChatGPT-öffentliche Seiten, Grok oder ähnliche Dienste) wurden auch dokumentiert, um falsche Anleitungen zu veröffentlichen, die Benutzer dazu veranlassen, bösartige Schritte zu folgen. Eine Überprüfung spezialisierter Nachrichten hilft, diese Mutationen zu verfolgen; Mittel wie BlepingComputer Sie decken gewöhnlich diese Varianten und ihre Auswirkungen ab.

Technische und Nachweisfolgen: wenn die Nutzlast innerhalb einer DNS-Antwort im Text reist, können traditionelle Verteidigungen, die HTTP-Downloads überprüfen oder schädliche Domains blockieren, keine Kommunikation erfassen. Darüber hinaus machen die Verwendung von legitimen System-Tools (nslookup, cmd.exe, PowerShell) und der manuellen Ausführung des Benutzers es schwierig, als abnormale Aktivität mit einfachen Regeln einzustufen. Es ist daher von entscheidender Bedeutung, technische Kontrollen mit Training zu kombinieren: ohne menschliche Interaktion (aus dem angegebenen Befehl) ist die Infektionskette nicht beendet.

Aus der Sicht des Angreifers war die beobachtete Sequenz: (1) um den Benutzer zu veranlassen, eine DNS-Abfrage gegen einen vom Angreifer gesteuerten Server auszuführen; (2) um in der DNS-Antwort einen PowerShell-Befehl zu erhalten, der direkt gespeichert oder ausgeführt wird; (3) dieser Befehl lädt eine ZIP-Datei mit einer Python-Laufzeit und mehrere Skripte zur Erkennung und Bewegung innerhalb des Hosts herunter; (4) um Persistenzeinträge zu erstellen (z. Obwohl der von Microsoft identifizierte DNS-Server zum Zeitpunkt des Berichts nicht mehr aktiv war, ist die Methodik klar und leicht replizierbar durch andere schädliche Schauspieler.

Was Benutzer und Administratoren tun können: Vorbeugung ist, indem nicht ausgeführte Befehle aus nicht verifizierten Quellen kommen und jede Anweisung, die Sie bitten, die Run-Box öffnen, um Systemprogramme zu starten. Organisationen sollten ausgehende DNS-Beratungen überwachen und analysieren, sichere Auflösungslisten anwenden und Lösungen verwenden, die den Inhalt von DNS-Antworten inspizieren. Formale Empfehlungen zum Erkennen und Vermeiden von Phishing und Social Engineering sind in öffentlichen Sicherheitsressourcen verfügbar, zum Beispiel im CISA Social Engineering Guide: CISA - Sozialtechnik und Phishing. Für Windows-Administratoren können offizielle Dokumentationen über Tools wie nslookup verwendet werden, um genau zu verstehen, welche Befehle missbraucht werden können: Nslookup (Microsoft Dokumentation).

Auf der technischen Betriebsebene empfiehlt es sich, ungewöhnliche DNS-Abfragen (z.B. Anfragen an unbefugte externe Auflösung) aufzuzeichnen und zu benachrichtigen und Muster wie Reaktionen mit hohen, ungewöhnlichen Textbelastungen in NAME- oder TXT-Aufzeichnungen zu erkennen. Sicherheitslösungen in Endpunkten, die die Nutzung von PowerShell und die Ausführung von Kinderprozessen überwachen, können die Kette blockieren, bevor die zweite Nutzlast heruntergeladen und ausgeführt wird. Schließlich verringert die Aufrechterhaltung weniger privilegierter Richtlinien und die Einschränkung der Fähigkeit von Standardnutzern, Verwaltungsbefehle zu führen, das Risiko drastisch.

Das Erscheinen dieser Verwendung von DNS in ClickFix-Kampagnen erinnert uns daran, dass die Sicherheit ein Rennen zwischen Erkennung und Anpassung ist: Wenn eine Technik wirksam wird, erfinden die Angreifer sie und öffnen sie es auf neue Kanäle. Der effektivste Schutz ist eine Mischung aus technischer Kontrolle, Netzsicht und kontinuierliche Schulung der Benutzer weil viele dieser Kampagnen genau von jemandem abhängen, der "Akzeptieren" drückt oder einen Befehl kopiert, ohne seinen Ursprung zu überprüfen.

Wenn Sie den technischen Fall und den ursprünglichen Thread der Forschung vertiefen möchten, überprüfen Sie Microsofts Kommunikation auf seinem Intelligenzkanal und konsultieren Sie Bedrohungs- und Standardanalyseressourcen wie MITRE ATT & CK, um den Kontext von DNS-Missbrauch als Befehls- und Steuerkanal zu verstehen: Microsoft Threat Intelligence (X) und MITRE ATT & CK - DNS. Für allgemeinere öffentlich-orientierte Lektüre und Follow-up ähnliche Vorfälle, spezialisierte Medien wie BlepingComputer sie veröffentlichen häufige Updates.