安全廠商 Infoblox 的調(diào)查研究顯示，一個名為 DecoyDog（誘餌狗）的復(fù)雜惡意工具包通過域名系統(tǒng)（DNS），從事網(wǎng)絡(luò)間諜活動已達(dá)1年以上。

目前尚不清楚該惡意軟件的幕后黑手是誰，但 Infoblox 的研究人員認(rèn)為，有4個參與者正在利用和開發(fā)該惡意軟件來進(jìn)行具有高度針對性的操作。由于觀察到的范圍僅限于俄羅斯和東歐地區(qū)，似乎該活動與俄烏戰(zhàn)爭有關(guān)。

雖然 Infoblox 只分析了 DecoyDog 的 DNS 和網(wǎng)絡(luò)流量，但由于它基于 Pupy，因此它很可能是在受感染的設(shè)備上下載惡意軟件負(fù)載并執(zhí)行攻擊者發(fā)送的命令。

4 月初，Infoblox 專家在6個存在異常 DNS 信標(biāo)活動的域中發(fā)現(xiàn)了DecoyDog，這些域充當(dāng)該惡意軟件的命令和控制 (C2) 服務(wù)器：

• cbox4[.]ignorelist[.]com
• claudfront[.]net
• hsdps[.]cc
• ads-tm-glb[.]click
• atlas-upd[.]com
• allowlisted[.]net

當(dāng)時，研究人員表示，他們發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)中出現(xiàn)了相同的 DNS 查詢模式，無法與消費(fèi)設(shè)備聯(lián)系起來，并 確認(rèn)查詢源自數(shù)量非常有限的客戶網(wǎng)絡(luò)中的設(shè)備。

在 Infoblox 宣布發(fā)現(xiàn)并發(fā)布技術(shù)分析報告后，DecoyDog并沒有停止活動，分析報告顯示，DecoyDog 在很大程度上是基于 Pupy 開源漏洞后遠(yuǎn)程訪問木馬（RAT）。最新的報告表明，DecoyDog是 Pupy 的重大升級，使用了公共存儲庫中沒有的命令和配置。具體觀察到的差異包括：

• 使用 Python 3.8，而 Pupy 是用 Python 2.7 編寫的；
• 許多改進(jìn)，包括 Windows 兼容性和更好的內(nèi)存操作；
• 通過添加多個通信模塊顯著擴(kuò)展了 Pupy 中的通信詞匯量；
• 會響應(yīng)先前 DNS 查詢的重播，而 Pupy 則不會；
• 能響應(yīng)通配符 DNS 請求，使被動 DNS 中的解析數(shù)量增加了一倍；
• 能響應(yīng)與客戶端有效通信結(jié)構(gòu)不匹配的 DNS 請求；
• 能將任意 Java 代碼注入 JVM 線程來增加運(yùn)行任意 Java 代碼的能力，并添加在受害設(shè)備上維持持久性的方法。

Infoblox 威脅情報主管 Renée Burton 透露，目前DecoyDog 域名服務(wù)器、控制器和域的數(shù)量已超過20個。

DecoyDog控制器列表

目標(biāo)明確的惡意軟件

根據(jù)被動 DNS 流量分析，很難確定DecoyDog客戶端的準(zhǔn)確數(shù)量，這將表明受影響設(shè)備的數(shù)量，但 Infoblox 在任何一個控制器上觀察到的最大活躍并發(fā)連接數(shù)不到 50 個，最小的只有 4 個。Burton預(yù)估，目前被入侵設(shè)備的數(shù)量僅有幾百臺，表明目標(biāo)非常小，是典型的情報行動。

在Infoblox披露DecoyDog后，該惡意軟件開始增加地理圍欄機(jī)制，限制控制器域?qū)碜蕴囟ǖ貐^(qū) IP 地址的 DNS 查詢響應(yīng)。

Infoblox發(fā)現(xiàn)其中一些服務(wù)器只有通過俄羅斯 IP 地址DNS 查詢時才會響應(yīng)，而其他服務(wù)器則會響應(yīng)來自任何地點(diǎn)的任何格式良好的查詢。這可能意味著受害者位于俄羅斯，但攻擊者也可能選擇將受害者流量路由到該地區(qū)作為誘餌或?qū)⒉樵兿拗茷橄嚓P(guān)查詢。Burton 傾向于前者，認(rèn)為DecoyDog 的行為類似于 Pupy，并使用默認(rèn)的遞歸解析器連接到 DNS。由于在現(xiàn)代網(wǎng)絡(luò)中改變這一系統(tǒng)相當(dāng)具有挑戰(zhàn)性，因此這些受害者很可能在俄羅斯或鄰近國家（也可能通過俄羅斯路由數(shù)據(jù)）。

TTP 指向多個參與者

Infoblox 根據(jù)觀察到的戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 來區(qū)分操作DecoyDog的4個參與者。然而，他們似乎都會響應(yīng)與DecoyDog或 Pupy 格式匹配正確的查詢。

Burton指出，這種奇怪的行為可能是有意為之，但即使作為密碼學(xué)家、情報人員和數(shù)據(jù)科學(xué)家，擁有豐富的經(jīng)驗，她也無法歸結(jié)清楚具體的原因。如果有多個 DecoyDog參與者的理論屬實，那么可能有兩個參與者用新功能對其進(jìn)行了改進(jìn)。

根據(jù) Burton 的說法，4個參與者中有一個擁有公共存儲庫中最先進(jìn)的 DecoyDog 版本 ，其客戶端連接到控制器 claudfront[.]net。該參與者中的另一個控制器為maxpatrol[.]net，但沒有觀察到連接行為，這可能與 Positive Technologies 的漏洞和合規(guī)管理系統(tǒng)類似。Positive Technologies 是一家俄羅斯網(wǎng)絡(luò)安全公司，因販賣國家支持的黑客組織使用的黑客工具和漏洞利用程序在 2021 年受到美國制裁。

Infoblox 指出，DecoyDog的新版本附帶了域名生成算法 (DGA)充當(dāng)緊急模塊，如果惡意軟件長時間無法與其 C2 服務(wù)器通信，則允許受感染的計算機(jī)使用第三方 DNS 服務(wù)器。從第三個版本開始，DecoyDog提供了廣泛的持久性機(jī)制，表明其目的是以竊取情報為主，而非出于經(jīng)濟(jì)動機(jī)或者是紅隊工具。

DecoyDog尚存諸多疑點(diǎn)

目前，DecoyDog仍然比較神秘，需要進(jìn)行額外的研究來確定目標(biāo)、初始入侵方法（例如供應(yīng)鏈、已知漏洞、目標(biāo)設(shè)備中的零日漏洞）以及是如何進(jìn)入網(wǎng)絡(luò)的。

盡管 Infoblox 得到了信息安全社區(qū)（來自主要英特爾供應(yīng)商、政府機(jī)構(gòu)、威脅研究小組和金融組織）的支持，但該惡意軟件的檢測結(jié)果或其全部范圍尚未公開披露。

Infoblox 建議防御者注意，Decoy Dog 和 Pupy 中的 IP 地址代表加密數(shù)據(jù)，而不是用于通信的真實地址，并關(guān)注 DNS 查詢和響應(yīng)，因為它們可以幫助跟蹤惡意軟件活動。

該公司還創(chuàng)建了一條 YARA 規(guī)則，可以檢測研究人員自 7 月以來觀察到的 DecoyDog 樣本，并與公共版本的 Pupy進(jìn)行區(qū)分。