Вредоносное устройство DNS: как обнаружить его и защитить себя

Вредоносное устройство DNS: как обнаружить его и защитить себяСистема доменных имен (DNS) - это часть инфраструктуры Интернета, которая преобразует легко запоминающиеся доменные имена, которые люди используют, в более неясные IP-адреса, которые используют компьютеры, подключенные к Интернету. Без DNS нам пришлось бы помнить IP-адрес каждого нового сайта, который мы хотим посетить.

В связи с этим, DNS в основном связан с удобством. На самом деле DNS также является важной частью интернет-безопасности. Ваш компьютер доверяет DNS, чтобы дать ему правильный IP-адрес для любого данного сайта. К сожалению, существует очень мало мер предосторожности для обнаружения неправильных ответов DNS, что оставляет злоумышленникам пробел в безопасности.

Более глубокое погружение в работу DNS

DNS децентрализован. Вместо того, чтобы состоять из одной огромной базы данных с информацией о каждом домене, эта информация разбросана по Интернету на многих разных серверах. Каждый домен имеет как минимум один авторитетный сервер имен.

Справочная информация. Полномочный сервер имен - это DNS-сервер, который содержит все записи DNS для любого конкретного домена..

Например, в случае Comparitech.com, мы можем видеть, что официальные серверы имен являются DNS-серверами Amazon.

$ dig + short сравнениеitech.com нс
ns-769.awsdns-32.net.
ns-1652.awsdns-14.co.uk.
ns-1459.awsdns-54.org.
ns-237.awsdns-29.com.

Поэтому, если бы я запросил один из этих серверов имен, чтобы получить IP-адрес для сайта сравнениеitech.com, он вернет IP-адрес веб-сервера, на котором размещен сайт..

$ dig + short Compareitech.com @ Ns-769.awsdns-32.net.
108.59.8.18

В этом примере я напрямую запросил один из серверов имен Comparitech, но это не совсем то, как система DNS работает в повседневной работе. Полная система DNS включает в себя не только DNS-серверы, но и DNS-клиенты. DNS-клиенты называются DNS-преобразователями.

Фон: DNS-распознаватель назван таким образом, потому что его задача состоит в том, чтобы взять доменное имя и преобразовать его в IP-адрес, который ваш компьютер может использовать для установления связи с интернет-сервером..

DNS-распознаватель находится практически на каждом компьютере, а также обычно на более высоких уровнях, например, у вашего интернет-провайдера. Когда программа на вашем компьютере хочет узнать IP-адрес домена, она просит DNS-распознаватель разрешить эту связь между доменом и IP. Как распознаватель делает это, неизвестно запрашивающей программе; он просто счастлив получить обратно IP-адрес независимо от того, как он был получен.

Почти все распознаватели DNS кэшируют запросы, чтобы уменьшить нагрузку на различные DNS-серверы. DNS-распознаватель на вашем компьютере называется локальным распознавателем, и когда он запрашивает IP-адрес, он сначала проверяет свой кэш, чтобы узнать, знает ли он уже этот ответ. Если это не так, то он будет обращаться к преобразователю DNS следующего уровня, которым обычно является ваш маршрутизатор. Этот распознаватель выполняет ту же проверку кэша, чтобы узнать, знает ли уже ответ, а если нет, то он передает запрос следующему, более высокому разрешителю. Это продолжается до тех пор, пока не будет обнаружен распознаватель, у которого есть ответ и который предоставляет IP-адрес, или пока иерархия не будет исчерпана, и ни распознаватели, ни уполномоченные серверы имен не будут знать IP-адрес домена. Последнее обычно происходит только в том случае, если домен не зарегистрирован и, следовательно, не имеет авторитетных серверов имен или имеется какая-либо другая неисправность в цепочке преобразователя DNS..

Важной частью этого процесса является то, что после того, как распознаватель предоставляет ответ, поиск останавливается. Никаких других распознавателей не будет запрошено, как только один распознаватель преуспеет. В этом и заключается пробел, в котором может проникнуть вредоносная программа DNS-чейнджера. Подробнее об этом позже.

Существует один последний уровень разрешения DNS, который не является частью модели DNS, но тем не менее обладает большой мощью. У каждого компьютера есть файл с именем hosts где-то в его системе. В системах Unix и macOS / OSX его обычно можно найти в / etc / hosts /, а для систем Windows - в C: \ System32 \ drivers \ etc \ hosts. Если вы используете более экзотическую операционную систему, местоположение ее файла hosts, вероятно, находится в этом списке..

Почти во всех случаях файл hosts превосходит любые действия распознавателя DNS. Это значит, что если я добавлю следующую строку в мой файл hosts, я никогда не смогу успешно загрузить веб-сайт Comparitech.com. Это связано с тем, что мой веб-браузер принимает неправильный ответ в моем файле hosts и, поскольку другие ответчики не запрашиваются после возврата ответа, больше не будет выполняться проверка..

123.45.67.89 сравнениеitech.com www.comparitech.com

Файл hosts предшествует DNS и первоначально использовался для разрешения имен ARPANET, но он все еще существует в современных системах. Он в основном используется техническими специалистами, такими как разработчики и системные администраторы, когда необходимо временно просмотреть домен с другим IP-адресом, чем тот, который хранится в общедоступном DNS.

Файл hosts также можно изменить, чтобы заблокировать IP-адреса вредоносных веб-сайтов. Вы можете узнать, как изменить файл hosts для блокировки рекламы и вредоносных программ здесь..

Наконец, существует множество различных типов записей DNS. Например, почтовые серверы обозначаются записями MX, адреса IPv6 содержатся в записях AAAA, а псевдонимы доменов называются записями CNAME. В этой статье мы сосредоточимся только на записи IPv4 A, которая содержит IPv4-адрес домена и используется главным образом в качестве IP-адреса веб-сайта..

Откуда берутся записи DNS?

Владельцы доменов несут ответственность за создание необходимых записей DNS для функционирования своего домена. Эти записи должны быть созданы там, где находится авторитетный сервер имен для этого домена. Когда домен впервые приобретается у регистратора домена, эти записи обычно указывают на тот или иной тип страницы парковки у регистратора. Как только веб-сайт или другая служба создается для домена, обычно записи DNS меняются, чтобы указывать на новый веб-сайт и почтовый сервер..

Предыстория: регистратор домена - это место, где доменное имя куплено или было передано после покупки. Архаичный термин «регистратор» используется потому, что важной функцией продавца домена является регистрация этого домена в системе DNS, чтобы можно было разрешить его записи DNS..

Как работает вредоносная программа DNS Changer?

Задача вредоносного ПО DNS-чейнджера состоит в том, чтобы заставить ваш компьютер посещать службы, отличные от ваших, и делать это совершенно невидимым для вас. Например, хакер, создающий дубликат сайта Банка Америки на каком-либо другом сервере, - это только полдела. Следующий шаг - как-то заставить людей посетить этот сайт и непреднамеренно ввести свои учетные данные, чтобы их могли отправить плохим парням..

Это форма фишинга. Один из распространенных способов заставить людей посещать эти сайты - это рассылать спам-рассылки с запутанными ссылками. Похоже, что ссылки ведут на законный сайт Банка Америки, но на самом деле это не так. Этот тип фишинга довольно легко победить с помощью некоторых базовых методов расследования, о которых я писал здесь.

Более коварный и сложный для обнаружения метод состоит в том, чтобы изменить локальный DNS-распознаватель, чтобы предоставлять вредоносный IP-адрес для запросов к домену Банка Америки. Это означает, что вы должны запустить свой веб-браузер и посетить веб-сайт Банка Америки. Ваш браузер запросит у локального преобразователя DNS IP-адрес сайта BoA, а поврежденный преобразователь DNS вернет IP-адрес вредоносного сайта вместо IP-адреса законного сайта BoA. Вредоносный сайт будет загружаться в ваш браузер, и, в отличие от обычных фишинговых сайтов, которые находятся на других доменах, этот сайт фактически будет отображаться как Банк Америки в адресной строке вашего браузера, что делает почти невозможным обнаружение неверного направления..

Напомним, что после того, как распознаватель DNS получает ответ, он принимает этот ответ и больше не выполняет никаких запросов. Это означает, что для предоставления неверного IP-адреса для DNS-запроса, злоумышленник просто должен перехватить первый DNS-распознаватель, который будет обрабатывать ваши DNS-запросы. Почти во всех случаях это локальный DNS-преобразователь на вашем компьютере или маршрутизаторе. Вектор атаки заключается в установке вредоносного ПО на ваш компьютер, который контролирует локальный DNS или маршрутизатор..

История вредоносного ПО DNS Changer

Первый раунд вредоносных программ DNS-чейнджеров появился в 2013 году и потерпел сокрушительное поражение. Это было сложное дело, созданное в Эстонии компанией под названием Rove Digital. Он управлял серией вредоносных DNS-серверов, которые вставляли рекламу в веб-страницы. Затем Роув развернул вредоносное ПО для Windows и Mac OSX повсюду, которое перенастроило локальные средства распознавания для использования этих вредоносных DNS-серверов. На рекламу было нажано более 14 миллионов долларов, прежде чем они были закрыты.

Из-за характера этой атаки вредоносные DNS-серверы были обнаружены и каталогизированы. Поэтому было довольно легко исправить; это просто означало проверить настройки DNS на вашем компьютере и сравнить их со списком известных DNS-серверов Rove. Если было совпадение, вы были заражены. Консорциум под названием Рабочая группа по изменению DNS (DCWG) был создан, чтобы помочь пользователям диагностировать и лечить их инфекции. Большинство ссылок на этом сайте уже не работает.

Хотя технически это не вредоносное ПО, Китай, как известно, отравляет свой собственный DNS как инструмент цензуры. DNS-серверы, которые используют граждане Китая, настроены на возврат неверных IP-адресов для сайтов, которые отдел Администрации Киберпространства Китая хочет сделать недоступными внутри страны.. 

Смотрите также: Как получить доступ к сайтам, заблокированным в Китае с помощью VPN.

В прошлом эти DNS-серверы возвращали нулевые IP-адреса, на которых не было размещено никакого контента, поэтому время ожидания браузера посетителя истекло. В более недавнем повороте DNS Китая, похоже, отвечает IP-адресами законных сайтов, которые он не одобряет нигде в мире, что привело к отключению некоторых из этих сайтов из-за объема трафика, который они неожиданно получают от невольных Китайские посетители.

Предыстория: фраза «ядовитый DNS» означает намеренную модификацию DNS-сервера для возврата неправильных IP-адресов для домена или набора доменов. Вредоносная программа DNS Changer существенно изменяет вашу локальную сеть, используя отравленные DNS-серверы..

Текущее состояние вредоносного ПО DNS-чейнджера

Текущие итерации вредоносного ПО DNS Changer намного сложнее и их сложнее обнаружить. Хотя внедрение рекламы для получения прибыли по-прежнему является основной целью вредоносного ПО DNS-чейнджера, оно более коварно и перенаправляет людей на вредоносные сайты для совершения различных видов мошенничества. Одним из основных отличий является то, что теперь он предназначен для маршрутизаторов, а не для отдельных компьютеров. Ориентация на маршрутизаторы - гораздо более эффективный вектор атаки, поскольку она позволяет заражению одного маршрутизатора отравлять DNS всех устройств, использующих этот маршрутизатор. В типичных домашних или офисных условиях один маршрутизатор предоставляет DNS очень большому количеству устройств, не пытаясь заразить локальный DNS-распознаватель каждого отдельного устройства..

Анатомия современной атаки вредоносного ПО DNS Changer

Сегодняшнее вредоносное ПО DNS Changer разворачивается с помощью javascript во время типичной атаки «drive-by».

Предыстория. Атака с диска - это непреднамеренная загрузка javascript в ваш браузер с зараженного веб-сайта, который вы посетили. Термин является насмешливой ссылкой на неизбирательный способ, которым стрельба из проезжающих мимо автомобилей требует произвольных жертв.

Как только javascript загружен, он выполняет WebRTC-вызов, чтобы определить ваш IP-адрес. Если ваш IP-адрес соответствует заранее установленному набору правил, на ваш компьютер загружается объявление, содержащее скрытые отпечатки маршрутизатора и учетные данные администратора по умолчанию. Эта информация затем извлекается, чтобы определить, какой тип маршрутизатора у вас есть. Затем он пытается войти в ваш маршрутизатор с учетными данными по умолчанию для вашего бренда маршрутизатора, чтобы изменить настройки DNS. Proofpoint обнаружил, как работает этот процесс, и подробно описал, как каждый шаг происходит здесь..

Как определить, что вы заражены

Без четко определенного вектора атаки, который использовал Rove Digital, намного сложнее обнаружить, заражен ли ты. Тем не менее, могут быть некоторые подсказки, которые указывают на проблему.

Ошибки SSL или вообще нет SSL

SSL (более корректно называемый TLS в наши дни) обозначает Secure Sockets Layer (TLS обозначает безопасность транспортного уровня и заменяет SSL). У SSL есть два основных задания:

  • шифровать информацию между вашим браузером и веб-сервером, и
  • подтвердить идентификацию веб-сервера.

Второй пункт выполняется при покупке сертификата. Поставщик сертификата обязан убедиться, что лицо, запрашивающее сертификат для домена, является фактическим владельцем этого домена. Это предотвращает, например, получение SSL-сертификата от Bank of America. Существуют разные уровни проверки, необходимые для выдачи сертификата:

  • Проверка контроля домена: Наименьший уровень проверки, который требует только, чтобы поставщик сертификата гарантировал, что запрашивающая сторона имеет физический контроль над доменом.
  • Проверка организацииВ отличие от валидации домена, которая касается только подтверждения контроля над доменом, валидация организации также стремится доказать, что организация, запрашивающая сертификат, является действительной юридической организацией. Чтобы подтвердить это, проведено некоторое расследование в отношении организации..
  • Расширенная проверка: Это самый высокий уровень проверки, и организации, желающие получить сертификаты EV, должны доказать, что их бизнес является законным и надлежащим образом лицензирован в их юрисдикции.

Хотя ошибки случаются, получить сертификат теоретически невозможно, если вы не можете доказать, что вы являетесь владельцем домена. Таким образом, даже если злоумышленник сможет испортить ваш DNS, вы окажетесь на веб-сайте, на котором вообще нет SSL или сломанного SSL, о котором ваш браузер предупредит вас. Если вы заметили, что сайт, на котором раньше был SSL, больше не работает, или если вы видите предупреждения браузера о проблемах с SSL на сайте, возможно, вы не находитесь на том сайте, где вы себя считаете. (Подробнее: Полное руководство для начинающих по шифрованию SSL)

Увеличение рекламы или перенаправление на страницы, содержащие рекламу

Разработчики вредоносных программ зарабатывают на рекламе. Несколько центов за клик - это много, если вы можете заставить миллионы людей нажимать на них. Если вы заметили увеличение количества объявлений или если вы перенаправлены на страницы, содержащие рекламу, это почти наверняка является признаком вредоносного ПО и, возможно, вредоносного ПО для смены DNS.

Проверьте настройки DNS вашего маршрутизатора

Почти каждый маршрутизатор на рынке сегодня имеет страницу настроек, где можно определить DNS-серверы. В большинстве случаев DNS-серверы определяются вашим интернет-провайдером (ISP), и настройки DNS в вашем маршрутизаторе будут пусты. Но возможно переопределить DNS-серверы вашего интернет-провайдера, установив конкретные DNS-серверы в вашем маршрутизаторе, что именно и пытается сделать вредоносная программа DNS Changer. Есть два шага, чтобы определить, заражен ли ваш маршрутизатор:

  1. Проверьте настройки DNS в вашем роутере. Если они не пусты, то:
  2. Определите, являются ли перечисленные DNS-серверы вредоносными.

Каждый маршрутизатор отличается, поэтому невозможно перечислить инструкции о том, как найти настройки DNS для каждого маршрутизатора. Вам нужно будет найти настройки DNS-серверов. В некоторых случаях это в настройках WAN (глобальной сети):

настройки DNS роутера 1

В других случаях вы можете найти его в настройках локальной сети:

настройки DNS роутера 2

Возможно, вам придется обратиться к документации вашего маршрутизатора, чтобы найти подходящее место для просмотра настроек DNS вашего маршрутизатора..

Используя мой двухэтапный тест выше на первом скриншоте, я могу определить, что:

  1. Настройки DNS моего роутера НЕ пусто, поэтому я перехожу к шагу 2.
  2. Я распознаю 8.8.8.8 и 8.8.4.4 в качестве DNS-серверов Google, поэтому я знаю, что они не являются вредоносными.

Но если бы я не был уверен, я бы по Google эти IP-адреса, чтобы увидеть, кому они принадлежат:

поиск DNS-сервера Google

Если вы найдете записи в настройках DNS вашего роутера и не можете определить, откуда они, вы должны удалить их.

Проверьте настройки DNS вашего локального компьютера

Несмотря на то, что сегодняшняя версия вредоносного ПО DNS Changer в первую очередь атакует маршрутизаторы, не мешает проверить настройки DNS вашего компьютера..

Macos

яблоко -> Системные настройки -> сеть -> нажмите на свою сеть

настройки macOS DNS

Windows

Панель управления -> Сеть и Интернет -> Сетевые соединения -> щелкните правой кнопкой мыши ваше сетевое подключение и выберите Свойства

Интернет-протокол версии 4 (TCP / IPv4)
Интернет-протокол версии 6 (TCP / IPv6)

Нажмите свойства:

Настройки Windows IP DNS

Нажмите Дополнительно, если вы хотите добавить больше DNS-серверов.

Проверьте текущие настройки из командной строки:

Windows IPconfig DNS настройки командной строки

Как защитить себя от инфекции или повторного заражения

Вспомните, что современная вредоносная программа DNS Changer пытается идентифицировать ваш маршрутизатор, а затем использует для него учетные данные по умолчанию. Поэтому первая и лучшая защита от этого - просто изменить пароль администратора вашего маршрутизатора как можно скорее. Одно это простое действие помешает этой особой разновидности вредоносного ПО.

Также важно отметить, что для успеха атаки используются javascript и webRTC. Я писал об опасности серфинга с включенным javascript, а также о том, как отключить запросы webRTC. Есть вокальное меньшинство, которое чувствует, что сеть полностью рушится, если ваш серфинг с отключенным javascript, но как многолетний ветеран, делает то, что я могу заверить вас, что сеть в порядке. Даже если это не так, применяется старая пословица: удобство или безопасность - выберите одну. У большинства из нас также нет никаких причин разрешать запросы webRTC. Если вас интересует, разрешаете ли вы запросы webRTC, вы можете использовать этот тест утечки DNS и установить плагин для Chrome или Firefox, чтобы отключить его..

Если вы уже были заражены и обнаружили вредоносные DNS-серверы в своем маршрутизаторе или в локальных настройках DNS, то, скорее всего, в вашей системе есть вредоносное ПО. Мы ведем список лучших антивирусных решений, и вы должны запустить одно из них для сканирования вашей системы на наличие вредоносных программ такого типа..

Важно делать вещи в правильном порядке. Если вы обнаружили вредоносные записи DNS на своем маршрутизаторе или локальном компьютере, удалили их, а затем установили антивирусное программное обеспечение, вам потребуется повторно посетить настройки DNS после завершения сканирования на наличие вредоносных программ. Причина этого заключается в том, что вредоносное ПО, которое изменило настройки DNS, вероятно, все еще существовало в вашей системе до завершения сканирования. Те плохие записи DNS в вашем маршрутизаторе, которые вы удалили, могли быть немедленно заменены существующими вредоносными программами. Только после того, как вы запустите антивирусное сканирование и удалите это вредоносное ПО, вы можете быть более уверены, что ваши настройки DNS останутся такими, как вы предполагали.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 5 = 5

Adblock
detector