Il pleut des RAT et des chiens, avec DNS comme cible : comment Infoblox répond aux adaptations de Decoy Dog

Jul 15, 2023

MISE À JOUR À 18H37 HAE / 01 AOÛT 2023

CHRONIQUE INVITÉE de Zeus Kerravala

Infoblox Inc. a récemment publié un deuxième rapport sur les menaces pour fournir des mises à jour sur la boîte à outils d'accès à distance, ou RAT, appelée « Decoy Dog », que la société a découverte en avril. Pour établir le commandement et le contrôle, Decoy Dog utilise le système de noms de domaine. La société soupçonne également qu’il s’agit d’un outil secret utilisé par les États-nations dans les cyberattaques.

Une fois qu'Infoblox a révélé qu'il connaissait le RAT – en particulier une variante d'un RAT connue sous le nom de Pupy – les acteurs de la menace se sont adaptés pour assurer son fonctionnement continu. La société affirme avoir continué ses recherches sur Decoy Dog et Pupy depuis la publication de ses conclusions le 23 avril. Elle écrit dans son rapport sur les menaces que Decoy Dog représente une mise à niveau significative par rapport à Pupy. Il utilise des commandes et des configurations qui ne figurent pas dans les référentiels publics.

Infoblox rapporte avoir développé des algorithmes pour séparer les communications client Decoy Dog et déduire plusieurs autres propriétés de chaque contrôleur. Les nouveaux algorithmes soulignent une chose à laquelle nous réfléchissons depuis un certain temps : si votre DNS n'est pas sécurisé, l'ensemble de votre entreprise pourrait tout aussi bien laisser sa porte d'entrée ouverte. Infoblox dispose d'un système de détection et de réponse DNS ou DNSDR disponible dans le commerce.

DNSDR est bien équipé pour faire face à la séquence d’attaque typique. Par exemple, un attaquant pourrait créer une charge utile malveillante lors de ce que l’on appelle la phase de militarisation. Il transmet ensuite la charge utile à une cible, souvent via un courrier électronique de spear phishing.

Ensuite, lorsqu'un utilisateur clique sur le lien, l'appareil demande une connexion à l'emplacement Internet et la recherche s'effectue via un serveur DNS. Les dispositifs de sécurité réseau tels que les pare-feu et les passerelles Web de nouvelle génération commencent à traiter le trafic et la connexion est ensuite établie. Une fois la connexion établie, la charge utile est téléchargée et exécutée sur l'appareil cible.

La première étape de ce processus se déroule via DNS. Avec DNSDR en place, une entreprise peut éliminer les menaces avant qu’elles n’affectent l’infrastructure vitale. Ce fut le cas de Decoy Dog et Pupy.

Infoblox affirme avoir appris les principales caractéristiques du malware et des opérateurs. Il estime qu’il existe un risque que l’utilisation de Decoy Dog se développe et affecte un large éventail d’organisations à travers le monde.

« Il est intuitif que le DNS devrait être la première ligne de défense permettant aux organisations de détecter et d'atténuer les menaces telles que Decoy Dog », a déclaré Scott Harrell, directeur général d'Infoblox. « Comme démontré avec Decoy Dog, l'étude et la compréhension approfondie des tactiques et techniques de l'attaquant nous permettent de bloquer les menaces avant même qu'elles ne soient connues comme des logiciels malveillants. »

Se défendre contre de telles menaces nécessite une approche différente. En se concentrant sur les cibles typiques des logiciels malveillants, les organisations restent à la traîne. Se prémunir contre les RAT et les chiens nécessite une approche centrée sur le DNS, en particulier si l'on considère les statistiques citées par Infoblox dans son communiqué de presse : plus de 90 % des attaques de logiciels malveillants exploitent le DNS pour établir le commandement et le contrôle sur un réseau ciblé, selon Anne Neuberger, directrice. de la cybersécurité à la National Security Agency. Les organisations qui laissent leur DNS sans surveillance risquent de voir les menaces résider dans leur infrastructure et de leur infliger de graves dommages.

Infoblox indique qu'il surveille 21 domaines Decoy Dog, certains enregistrés au cours du mois dernier. La clé ici est que les organisations surveillent les recherches du secteur et utilisent leur DNS comme système d’alerte précoce. Infoblox est à l'avant-garde.

Le Dr Renée Burton, responsable du renseignement sur les menaces chez Infoblox, prendra la parole au Black Hat à Las Vegas le 9 août. Le discours de Renée cette année devrait être une discussion fascinante sur les RAT et les chiens. Et je suis presque sûr que d’ici là, il y aura encore plus de développements. Infoblox offrira une expérience pratique unique aux participants leur permettant de travailler avec un ensemble de données Decoy Dog au salon Black Hat.