新型惡意軟件DecoyDog正大規模入侵DNS

安全廠商 Infoblox 的調查研究顯示，一個名為 DecoyDog（誘餌狗）的復雜惡意工具包通過域名系統（DNS），從事網絡間諜活動已達1年以上。

目前尚不清楚該惡意軟件的幕后黑手是誰，但 Infoblox 的研究人員認為，有4個參與者正在利用和開發該惡意軟件來進行具有高度針對性的操作。由于觀察到的范圍僅限于俄羅斯和東歐地區，似乎該活動與俄烏戰爭有關。

DecoyDog仍在活躍

雖然 Infoblox 只分析了 DecoyDog 的 DNS 和網絡流量，但由于它基于 Pupy，因此它很可能是在受感染的設備上下載惡意軟件負載并執行攻擊者發送的命令。

4 月初，Infoblox 專家在6個存在異常 DNS 信標活動的域中發現了DecoyDog，這些域充當該惡意軟件的命令和控制 (C2) 服務器：

• cbox4[.]ignorelist[.]com
• claudfront[.]net
• hsdps[.]cc
• ads-tm-glb[.]click
• atlas-upd[.]com
• allowlisted[.]net

當時，研究人員表示，他們發現企業網絡中出現了相同的 DNS 查詢模式，無法與消費設備聯系起來，并 確認查詢源自數量非常有限的客戶網絡中的設備。

在 Infoblox 宣布發現并發布技術分析報告后，DecoyDog并沒有停止活動，分析報告顯示，DecoyDog 在很大程度上是基于 Pupy 開源漏洞后遠程訪問木馬（RAT）。最新的報告表明，DecoyDog是 Pupy 的重大升級，使用了公共存儲庫中沒有的命令和配置。具體觀察到的差異包括：

• 使用 Python 3.8，而 Pupy 是用 Python 2.7 編寫的；
• 許多改進，包括 Windows 兼容性和更好的內存操作；
• 通過添加多個通信模塊顯著擴展了 Pupy 中的通信詞匯量；
• 會響應先前 DNS 查詢的重播，而 Pupy 則不會；
• 能響應通配符 DNS 請求，使被動 DNS 中的解析數量增加了一倍；
• 能響應與客戶端有效通信結構不匹配的 DNS 請求；
• 能將任意 Java 代碼注入 JVM 線程來增加運行任意 Java 代碼的能力，并添加在受害設備上維持持久性的方法。

Infoblox 威脅情報主管 Renée Burton 透露，目前DecoyDog 域名服務器、控制器和域的數量已超過20個。

【DecoyDog控制器列表】

目標明確的惡意軟件

根據被動 DNS 流量分析，很難確定DecoyDog客戶端的準確數量，這將表明受影響設備的數量，但 Infoblox 在任何一個控制器上觀察到的最大活躍并發連接數不到 50 個，最小的只有 4 個。Burton預估，目前被入侵設備的數量僅有幾百臺，表明目標非常小，是典型的情報行動。

在Infoblox披露DecoyDog后，該惡意軟件開始增加地理圍欄機制，限制控制器域對來自特定地區 IP 地址的 DNS 查詢響應。

Infoblox發現其中一些服務器只有通過俄羅斯 IP 地址DNS 查詢時才會響應，而其他服務器則會響應來自任何地點的任何格式良好的查詢。這可能意味著受害者位于俄羅斯，但攻擊者也可能選擇將受害者流量路由到該地區作為誘餌或將查詢限制為相關查詢。Burton 傾向于前者，認為DecoyDog 的行為類似于 Pupy，并使用默認的遞歸解析器連接到 DNS。由于在現代網絡中改變這一系統相當具有挑戰性，因此這些受害者很可能在俄羅斯或鄰近國家（也可能通過俄羅斯路由數據）。

TTP 指向多個參與者

Infoblox 根據觀察到的戰術、技術和程序 (TTP) 來區分操作DecoyDog的4個參與者。然而，他們似乎都會響應與DecoyDog或 Pupy 格式匹配正確的查詢。

Burton指出，這種奇怪的行為可能是有意為之，但即使作為密碼學家、情報人員和數據科學家，擁有豐富的經驗，她也無法歸結清楚具體的原因。如果有多個 DecoyDog參與者的理論屬實，那么可能有兩個參與者用新功能對其進行了改進。

根據 Burton 的說法，4個參與者中有一個擁有公共存儲庫中最先進的 DecoyDog 版本 ，其客戶端連接到控制器 claudfront[.]net。該參與者中的另一個控制器為maxpatrol[.]net，但沒有觀察到連接行為，這可能與 Positive Technologies 的漏洞和合規管理系統類似。Positive Technologies 是一家俄羅斯網絡安全公司，因販賣國家支持的黑客組織使用的黑客工具和漏洞利用程序在 2021 年受到美國制裁。

Infoblox 指出，DecoyDog的新版本附帶了域名生成算法 (DGA)充當緊急模塊，如果惡意軟件長時間無法與其 C2 服務器通信，則允許受感染的計算機使用第三方 DNS 服務器。從第三個版本開始，DecoyDog提供了廣泛的持久性機制，表明其目的是以竊取情報為主，而非出于經濟動機或者是紅隊工具。

DecoyDog尚存諸多疑點

目前，DecoyDog仍然比較神秘，需要進行額外的研究來確定目標、初始入侵方法（例如供應鏈、已知漏洞、目標設備中的零日漏洞）以及是如何進入網絡的。

盡管 Infoblox 得到了信息安全社區（來自主要英特爾供應商、政府機構、威脅研究小組和金融組織）的支持，但該惡意軟件的檢測結果或其全部范圍尚未公開披露。

Infoblox 建議防御者注意，Decoy Dog 和 Pupy 中的 IP 地址代表加密數據，而不是用于通信的真實地址，并關注 DNS 查詢和響應，因為它們可以幫助跟蹤惡意軟件活動。

該公司還創建了一條 YARA 規則，可以檢測研究人員自 7 月以來觀察到的 DecoyDog 樣本，并與公共版本的 Pupy進行區分。