详细内容或原文请订阅后点击阅览
调整锚点
概述 AnchorDNS 是 TrickBot 攻击者用来针对选定的高价值受害者的后门。TrickBot 和 Bazar1 恶意软件活动2 都发现它存在。 AnchorDNS 特别难以追踪,因为它仅在感染后部署,而且只有在经过一段时间的侦察后,一旦恶意软件操作员确定目标具有特别的兴趣,它才会被部署。在分析了最近报告23中发布的 AnchorDNS 样本后,我们观察到 AnchorDNS 的 C2 通信协议已经发生了变化。
来源:Kryptos Logic _恶意软件概述
AnchorDNS 是 TrickBot 攻击者用来针对选定的高价值受害者的后门。TrickBot 和 Bazar 恶意软件活动都曾发现过该后门。AnchorDNS 特别难以追踪,因为它仅在感染后部署,而且只有在恶意软件操作员确定目标具有特殊兴趣后才会部署。
在分析最近报告中发布的 AnchorDNS 样本后,我们发现 AnchorDNS 的 C2 通信协议已发生变化。我们还看到了另一个名为 AnchorAdjuster 的 Anchor 组件的使用。较新的变体对发送到 C2 的消息结构进行了修改,并在创建 DNS 查询时添加了额外的加密例程。从 C2 收到的数据现在已编码,从而使流量不那么明显。
在这篇文章中,我们分析了 AnchorAdjuster 所起的作用,并概述了最近的 AnchorDNS 样本对通信协议所做的更改。
AnchorAdjuster
AnchorAdjuster 是一种工具,用于使用更新的配置和受害者的 UUID 修改 AnchorDNS 样本。该工具由外部命令执行,并且已被发现由 CobaltStrike 运行。
需要将一系列有效的参数传递给 AnchorAdjuster 才能成功执行。如果未传递参数,该工具会在控制台上输出一条消息,详细说明所需的参数:
using:anchorAdjuster* --source=<源文件> --target=<目标文件> --domain=<域名> --period=<重复间隔,分钟,默认值 15>-guid
using:anchorAdjuster* --source=<源文件> --target=<目标文件> --domain=<域名> --period=<重复间隔,分钟,默认值 15>-guid
以下是参数的描述:
ArgumentDescriptionRequirements--source