新型DNS恶意软件"Detour Dog"利用TXT记录传播Strela窃密程序
Detour Dog是一个自2023年8月开始被追踪的隐蔽网站恶意软件活动,已从最初将受害者重定向至技术支持诈骗,演变为成熟的基于DNS的命令与控制(C2)分发系统,通过DNS TXT记录传播Strela信息窃取器。
全球数万个受感染网站会发起服务器端DNS请求(对访问者不可见),实现条件重定向和远程代码执行。
攻击演进过程
最初,Detour Dog控制的名称服务器将受感染网站导向Los Pollos和Help TDS等诈骗登录页面。2024年11月下旬,重定向目标从Los Pollos转向Help TDS和Monetizer TDS联盟网络,但目的(欺诈流量变现)保持不变。
2025年春季开始出现新功能:名称服务器开始响应特殊格式的DNS TXT查询,返回Base64编码的"down"命令,指示受感染网站从远程C2服务器获取并执行PHP脚本。这标志着Detour Dog首次直接向家庭用户分发恶意软件。
2025年6月,研究人员观察到Detour Dog基础设施托管StarFish后门,该后门会安装Strela窃密程序载荷。分析显示,69%已确认的StarFish暂存主机受Detour Dog控制。
DNS TXT作为隐蔽通道
受感染网站生成以下格式的DNS TXT查询:
|
|
当<type>匹配nwuuscript或nauufile等模式时,权威名称服务器返回带有"down"前缀和C2 URL的TXT记录。PHP脚本输出随后通过服务器端curl请求中继给受害者,完全规避客户端检测。
2025年8月6日至8日的被动DNS日志显示超过400万次查询,主要是良性的"不执行任何操作"响应,但偶尔出现的远程执行命令揭示了一种创新的三牌蒙特式分发模型。
防御与对抗
Shadowserver基金会在2025年8月接管了主要C2域名webdmonitor[.]io,但Detour Dog在几小时内就启用了aeroarrows[.]io。接管数据在48小时内捕获了来自584个顶级域名中30,000台受感染主机的超过3900万次TXT查询。虽然机器人流量占主导地位(每小时请求峰值达200万),但唯一IP地址遍布89个国家,其中美国占不同访问者IP的37%。
有趣的是,部分编码IP属于美国国防部子网,这些查询由谁或什么生成仍是个谜。
历史演变与联盟网络关联
Detour Dog的起源可追溯至2020年2月,最初将流量转发至Los Pollos联盟会员(标识符如bt1k60t),后来整合了Help TDS联盟ID。
2024年11月17日和11月20日记录的详细重定向链说明了从Help TDS到Monetizer TDS的转换,跟踪参数保持一致(cid:11005)。综合时间线显示联盟驱动的流量已持续五年半。
这种DNS TXT C2模型代表了一种新颖、有弹性的恶意软件分发架构,将真正的C2基础设施隐藏在受感染网站的全球网络后面。通过将联盟营销流量与基于DNS的远程执行交织在一起,Detour Dog混淆了攻击链并误导防御者。
随着Detour Dog继续完善其系统(被动DNS测试表明功能正在持续扩展),组织和威胁猎人必须整合DNS TXT监控和域名接管策略来检测和缓解此类隐蔽威胁。