Detour Dog：DNS恶意软件驱动Strela窃取程序攻击活动

全球数万个网站感染了利用域名系统（DNS）有条件地将访问者重定向到恶意内容的恶意软件。这些DNS请求是在服务器端进行的，即来自网站本身，对访问者不可见。我们自2023年8月以来一直在追踪操作此恶意软件的威胁行为者。

恶意名称服务器有条件地指示网站根据访问者的位置和设备类型重定向访问者。虽然传统上这些重定向会导致诈骗，但最近该恶意软件已演变为通过基于DNS的命令与控制（C2）系统执行远程内容。我们将控制此恶意软件的威胁行为者追踪为Detour Dog。

Detour Dog在传播Strela窃取程序活动中的关键作用

今年夏天，Detour Dog在传播Strela窃取程序的活动中发挥了重要作用。6月，我们从外部研究人员处获悉，Detour Dog拥有的基础设施正在托管后门恶意软件StarFish，用于安装信息窃取程序。这些域出现在针对德国的恶意电子邮件附件中。

通过分析我们自己的垃圾邮件收集，我们发现被Detour Dog入侵的网站似乎也托管信息窃取程序的第一阶段。在确认的StarFish暂存主机中，至少有69%受Detour Dog控制；真实百分比可能要高得多。

令我们惊讶的是，我们通过DNS追踪的另一个系统——被宣传为REM Proxy的MikroTik僵尸网络——也是攻击链的一部分。Strela窃取程序由名为Hive0145的行为者操作，传统上通过群发电子邮件中的附件分发。6月和7月发现的垃圾邮件由REM Proxy和另一个僵尸网络Tofsee共同分发。Detour Dog在这两个来源的活动中托管了攻击的第一阶段。

但Detour Dog不仅仅是托管后门恶意软件：他们还通过DNS TXT记录帮助分发窃取程序。行为者控制的名称服务器被修改以解释来自受感染站点的特殊格式的DNS查询，并响应远程代码执行命令。

从6月8日开始，我们看到服务器的响应指示受感染站点从经过验证的Strela窃取程序C2服务器获取PHP脚本的输出，从这些隐蔽通信中，我们看到了恶意软件分发系统的可能性，其中DNS既充当命令通道又充当传递机制。这样的新颖设置允许攻击者隐藏在受感染网站后面，使其操作更具弹性，同时误导威胁猎人，因为恶意软件并不在分析的附件指示的阶段托管位置。

这是Detour Dog首次已知向家庭用户分发恶意软件。

技术演进与攻击手法

多年来，Detour Dog专门将流量转发到Los Pollos。2024年11月下旬，这种情况发生了变化。服务器开始将访问者重定向到Help TDS，后者又通过Monetizer TDS路由流量。在这些流量中，我们观察到由第三方附属机构操作的恶意活动。

2025年春季，网站恶意软件发生了根本性的进步。行为者增加了一项新功能，可以命令受感染的网站执行来自远程服务器的代码。对TXT记录查询的响应是Base64编码的，并明确包含单词"down"以触发此新操作。我们认为这创建了一种使用DNS的新型网络恶意软件分发模型，其中不同阶段从威胁行为者控制下的不同主机获取，并在用户与活动诱饵（例如电子邮件附件）交互时中继回来。

据我们所知，图1中所示的这种技术尚未被报道。通过这种方法，行为者误导防御者并混淆恶意软件的真实位置。凭借庞大的受感染主机网络，这可能被认为是恶意软件分发的"三张牌"版本。

图1. 利用DNS TXT记录进行C2的理论攻击链示意图

大多数情况下，当用户访问其中一个站点时，他们会看到原始站点。在某些情况下，他们将通过Help TDS被重定向到诈骗网站。但在极少数情况下，站点将收到远程文件执行命令。事实上，大多数时候没有明显的站点泄露，并且难以复制恶意重定向，这使得Detour Dog得以持续存在。我们看到站点感染时间超过一年。当与新的远程执行功能结合使用时，威胁行为者传递恶意内容的方式变得复杂。目前已知利用Detour Dog控制资产的攻击链如图2所示。

图2. 利用Detour Dog控制资产的多重攻击向量

DNS TXT C2技术细节

受Detour Dog感染的网站使用包含用户信息的子域向DNS C2发出查询。查询格式在过去几年中略有变化，但保留了相同的一般结构：

1

<infected-host>.<visitor-ip>.<rand-num>.<type>.c2_domain

其中"type"并不总是存在。最初，这些查询是客户端进行的，但在2024年4月改为服务器端。随着这一变化，行为者开始编码有关客户端设备类型的信息，例如"ni"代表iPhone。过去几年我们在"type"字段中看到了几个值。

大多数时候，Detour Dog指示受感染的站点显示其原始内容，即"不执行任何操作"。我们分析了来自C2服务器的超过400万条TXT记录，这些记录是在8月6日至8月8日期间记录的。响应分布如图3所示。

图3. 8月6-8日Detour Dog对受感染主机查询的响应

TXT响应是Base64编码的，目前具有以下形式：

1

https://<redirector_domain>/?<alphanumeric_string>

其中字母数字字符串在每个响应中都会更改。此重定向器没有过滤逻辑，并且自2024年11月20日起专门重定向到Help TDS URL。表1显示了2025年观察到的重定向器域。

重定向器域	首次出现	最后出现
infosystemsllc[.]com	2024年8月1日	2025年4月1日
ecomicrolab[.]com	2024年12月8日	2025年6月10日
flow-distributor[.]com	2025年6月15日	2025年7月15日
advertipros[.]com	2025年6月10日	当前

表1. 自2025年1月以来TXT记录响应中包含的域

StarFish后门与Strela窃取程序

Strela窃取程序是一种信息窃取程序，首次观察到是在2022年末。操作者被称为Hive0145，针对欧洲国家，主要是德国，使用广泛分发的包含恶意文件的电子邮件。今年夏天，恶意SVG附件被用来下载名为StarFish的反向shell后门恶意软件。IBM X-Force和其他研究人员目睹了StarFish随后下载Strela窃取程序的情况。

Detour Dog还将StarFish C2包含在TXT响应中。6月8日，我们在解码记录中看到以下响应：

1

downhttp://176[.]65[.]138[.]152/script.php?u=j6cwaj0h67

该IP地址于2025年6月10日在向ANY.RUN的公开提交中被发现，其中包括一个混淆的JavaScript文件。该脚本尝试调用https[:]//176[.]65[.]138[.]152/server.php端点。该IP地址也在许多提交到VirusTotal的JavaScript文件中出现，这些文件被归类为远程访问木马。

TXT响应中包含的URL与为窃取程序报告的URL略有不同；它们包含一个script.php端点和一个"u"参数。触发此响应的DNS查询为"type"合并了新值，例如：

1

<infected-host>.<ip-address>.<rand>.nwuuj6cwaj0h67.webmonitor[.]io

传统的设备类型两字母值被必须由名称服务器解析才能正确响应的字符串所取代。如果查询包含格式为<na|nw|nd>.uu.<value>的类型值，服务器将解释此值并返回恶意软件C2服务器上的端点。如果查询包含"nwuuscript"，则响应没有附加参数：

1

downhttp:updatemsdnserver[.]com/script.php

除了script.php之外，从2025年6月11日到7月25日，当查询包含"nauufile"时，我们在TXT记录中看到了file.php返回。

攻击链理论

基于我们的分析，攻击链可能按以下顺序进行：

初始触发：受害者打开恶意文档（例如，虚假发票），该文档启动一个SVG文件，该文件使用u=script参数调用受感染的域。
DNS TXT查询：受感染的站点通过DNS向Detour Dog C2服务器发送TXT记录请求。查询包括类型标识符，如nwuuscript+{随机字符串}，其中随机字符串可能用作唯一标识符。
C2 URL响应：名称服务器响应包含Strela C2 URL的TXT记录，前缀为down。示例：downhttp://updatemsdnserver.com/script.php?u={随机字符串}
有效负载检索：受感染的站点剥离down前缀，并使用curl从Strela C2服务器获取下一阶段的有效负载。我们怀疑对script.php的此请求的输出是StarFish下载器。由于curl请求发生在服务器端，因此对访问者不可见。
有效负载传递：受感染的站点充当C2的中继，将来自C2服务器的输出传递给客户端。
第二阶段调用：下载器脚本启动对另一个受感染域的不同调用，这次使用u=file参数。
第二次DNS TXT查询：第二个受感染的站点向Detour Dog C2服务器发送类似的DNS TXT查询，现在使用nwuufile+{随机字符串}。
第二次C2 URL响应：Detour Dog名称服务器响应指向file.php的新Strela C2 URL，再次前缀为down。
第二次有效负载检索：受感染的站点剥离前缀并启动另一个对Strela C2服务器的curl请求，这次在响应中接收文件。
第二次有效负载传递：第二个受感染的站点将文件传递给客户端。有效负载是一个包含wscript木马的.zip存档，被认为是StarFish。

威胁应对与缓解

我们试图通过滥用报告来破坏Detour Dog。2025年8月，在注册商WebNIC拒绝暂停活动的DNS C2服务器webdmonitor[.]io后，Shadowserver Foundation沉陷了该域。这使我们能够重新查看受感染的网站，以及行为者应对中断的能力。Detour Dog仅用了几个小时就建立了新的C2并重新获得对受感染站点的控制。

一周后，Shadowserver沉陷了第二个域，并为我们提供了超过3900万条DNS TXT查询进行分析。在48小时的时间窗口内，在584个顶级域（TLD）中观察到了大约30,000个受感染主机。查询显示大量机器人流量；在其高峰期，沉陷点在一小时内收到了200万条TXT请求，并包含与自然人类流量不对应的编码IP地址。

DNS查询暗示Detour Dog仍在完善远程文件执行功能。目前，证据表明Detour Dog和Hive0145是不同的行为者。根据过去四年的历史，Detour Dog可能正在向其他人提供服务，在这种情况下，Hive0145可能只是第一个通过受感染主机网络获得恶意软件分发支持的合作伙伴。

我们在GitHub上发布了Detour Dog、Stela窃取程序和其他威胁的威胁指标。

Detour Dog：利用DNS恶意软件传播Strela信息窃取木马的攻击活动

本文详细分析了Detour Dog威胁组织如何利用DNS恶意软件构建命令与控制基础设施，通过DNS TXT记录分发Strela信息窃取木马，揭示了这种新型攻击手法的技术细节和运作模式。