Malware schimbător DNS: cum să-l detectezi și să te protejezi

Malware schimbător DNS: cum să-l detectezi și să te protejeziSistemul de nume de domeniu (DNS) este partea infrastructurii de internet care rezolvă nume de domeniu ușor de amintit pe care oamenii le folosesc în adrese IP mai obscure pe care le folosesc computerele conectate la internet. Fără DNS, ar trebui să ne amintim de adresa IP a fiecărui site nou pe care dorim să îl vizităm.

În această privință, DNS pare cel mai mult legat de comoditate. În realitate, DNS este, de asemenea, o parte critică a securității internetului. Calculatorul dvs. are încredere în DNS pentru a-i da adresa IP corectă pentru orice site dat. Din păcate, există foarte puține măsuri de precauție pentru detectarea răspunsurilor DNS incorecte, ceea ce lasă un gol de securitate pentru ca oamenii răi să exploateze.

Scufundare mai profundă în modul în care funcționează DNS

DNS este descentralizat. În loc să fie alcătuit dintr-o bază de date masivă cu informații despre fiecare domeniu, informațiile sunt împrăștiate pe internet pe multe servere diferite. Fiecare domeniu are cel puțin un server de nume autoritar.

Istoric: Un server de nume autorizat este un server DNS care conține toate înregistrările DNS pentru orice domeniu particular.

De exemplu, în cazul Comparitech.com, putem vedea că serverele de nume autorizate sunt servere DNS Amazon.

$ dig + scurt comparatitech.com ns
ns-769.awsdns-32.net.
ns-1652.awsdns-14.co.uk.
ns-1459.awsdns-54.org.
ns-237.awsdns-29.com.

Prin urmare, dacă aș interoga unul dintre serverele de nume pentru a obține adresa IP pentru site-ul comparatitech.com, va returna adresa IP a serverului web pe care este găzduit site-ul.

$ dig + scurt comparatitech.com @ ns-769.awsdns-32.net.
108.59.8.18

În acest exemplu, am întrebat direct unul dintre serverele de nume ale Comparitech, dar nu este chiar cum funcționează sistemul DNS în funcționarea de zi cu zi. Sistemul complet DNS implică nu numai servere DNS, ci și clienți DNS. Clientii DNS se numesc rezolutori DNS.

Istoric: Un rezolvator DNS este numit în acest fel, deoarece sarcina sa este să ia un nume de domeniu și să îl rezolve la o adresă IP pe care computerul o poate folosi pentru a iniția comunicarea cu serverul de internet.

O rezolvare DNS se află pe aproape fiecare computer și, de asemenea, de obicei la niveluri mai ridicate, cum ar fi furnizorul de servicii de internet. Când un program de pe computerul dvs. dorește să cunoască adresa IP a unui domeniu, acesta solicită rezolvarea DNS să rezolve relația domeniu-IP. Cum face rezolvarea nu este cunoscut de programul solicitant; este doar fericit să obțineți o adresă IP înapoi, indiferent de modul în care a fost obținută.

Aproape toate rezolvările DNS de interogare cache pentru a reduce încărcarea pe diverse servere DNS. Rezolvarea DNS de pe computer se numește rezolvator local și atunci când solicită o adresă IP, va verifica mai întâi memoria cache pentru a vedea dacă știe deja răspunsul respectiv. În caz contrar, se va face referire la următorul nivel de rezolvare DNS, care este de obicei routerul dvs. Resoluția respectivă verifică aceeași memorie cache pentru a vedea dacă cunoaște deja răspunsul și dacă nu, atunci trimite cererea la rezolvatorul următor. Aceasta continuă până când este întâlnită o rezolvare care are răspunsul și furnizează adresa IP sau până la epuizarea ierarhiei și niciun rezolver și nici serverele de nume autorizate nu cunosc adresa IP a domeniului. Aceasta din urmă se întâmplă în mod normal numai atunci când domeniul nu este înregistrat și, prin urmare, nu are servere de nume autorizate sau există o altă defecțiune în lanțul de rezolvare DNS.

Partea importantă a acestui proces este că, odată ce rezolvatorul furnizează un răspuns, căutarea se oprește. Nici un alt rezolvant nu va fi interogat imediat ce un singur rezolvator va reuși. Aici se află decalajul în care malware-ul schimbătorului DNS poate fi pus în pericol. Mai multe despre asta mai târziu.

Există un ultim nivel de rezoluție DNS care nu face parte din modelul DNS, dar are o putere mare. Fiecare computer are un fișier numit gazde undeva pe sistemul său. În sistemele Unix și macOS / OSX se găsește de obicei la / etc / hosts / iar pentru sistemele Windows se găsește de obicei în C: \ System32 \ drivers \ etc \ hosts. Dacă utilizați un sistem de operare mai exotic, locația fișierului său gazdă se află probabil în această listă.

În aproape toate cazurile, gazdele fișier trombează orice activitate de rezolvare DNS. Adică, dacă introduc următoarea linie în fișierul meu de gazde, nu voi putea încărca cu succes site-ul Comparitech.com. Acest lucru se datorează faptului că răspunsul incorect din fișierul gazdelor mele va fi acceptat de browserul meu web și, din moment ce nu se solicită alte rezolvări odată returnat un răspuns, nu se vor mai efectua verificări.

123.45.67.89 comparatitech.com www.comparitech.com

Gazdele fișierează date DNS pre-date și a fost folosit inițial pentru rezoluția de nume ARPANET, dar există încă în sistemele de astăzi. Este folosit în principal de oamenii tehnici, cum ar fi dezvoltatorii și administratorii de sistem, atunci când este necesar să vizualizeze temporar un domeniu pe o adresă IP diferită de cea stocată în DNS public..

Fișierul gazdelor poate fi, de asemenea, modificat astfel încât să blocheze adresele IP ale site-urilor web dăunătoare. Puteți afla cum să modificați fișierul gazdelor pentru a bloca reclame și malware aici.

În sfârșit, există o varietate de tipuri diferite de înregistrări DNS. De exemplu, serverele de poștă sunt desemnate prin înregistrări MX, adresele IPv6 sunt conținute în înregistrările AAAA, iar aliasurile de domeniu sunt numite înregistrări CNAME. În sensul acestui articol ne vom concentra doar pe o înregistrare IPv4, care deține adresa IPv4 a domeniului și este utilizată în principal ca adresă IP a site-ului..

De unde provin înregistrările DNS?

Proprietarii de domenii sunt responsabili pentru crearea înregistrărilor DNS necesare pentru ca funcționarea domeniului lor. Aceste înregistrări trebuie să fie create oriunde serverul de nume autorizat este pentru acel domeniu. Când un domeniu este achiziționat pentru prima dată de la registratorul de domeniu, aceste înregistrări indică, în mod normal, un fel de pagină de parcare la registrator. Odată ce un site web sau alt serviciu este creat pentru domeniu, în mod normal, înregistrările DNS sunt schimbate pentru a indica noul site web și serverul de poștă.

Istoric: Un registrator de domeniu este locul unde un nume de domeniu este achiziționat sau a fost transferat după achiziție. Termenul arhaic registrator este utilizat deoarece o funcție importantă a unui vânzător de domenii este de a înregistra acel domeniu în sistemul DNS, astfel încât înregistrările sale DNS să poată fi rezolvate.

Cum funcționează programul malware schimbător DNS?

Obiectivul programului malware schimbător DNS este de a provoca computerul dvs. pentru a vizita diferite servicii decât intenționați și a face acest lucru complet invizibil pentru dvs. De exemplu, un hacker care creează un duplicat al site-ului Bank of America pe un alt server este doar jumătate din luptă. Următorul pas este de a-i determina pe oameni să viziteze acel site și să-și introducă în mod involuntar datele de autentificare, astfel încât să poată fi trimise celor răi.

Aceasta este o formă de phishing. Un mod obișnuit de a încerca să-i păcălească pe oameni să viziteze aceste site-uri este prin intermediul campaniilor de e-mail prin spam cu linkuri oftalate. Link-urile arata ca merg pe site-ul legitim al Bank of America, dar de fapt nu. Acest tip de phishing se învinge destul de ușor cu unele tehnici de investigare de bază despre care am scris aici.

O metodă mai insidioasă și mai dificil de detectat este să schimbați rezolvarea DNS locală pentru a furniza adresa IP dăunătoare la întrebările pentru domeniul Bank of America. Acest lucru înseamnă că ați lansa browserul dvs. web și a vizita site-ul Bank of America. Browserul dvs. ar solicita rezolvarea DNS locală pentru adresa IP a site-ului BoA, iar rezolvarea DNS coruptă ar returna adresa IP a site-ului rău intenționat în loc de adresa IP a site-ului BoA legitim. Site-ul rău intenționat s-ar încărca în browserul dvs. și, spre deosebire de site-urile tip de phishing care se află pe alte domenii, acest site ar arăta de fapt ca Bank of America în bara de adrese a browserului dvs., ceea ce face ca misdirectionarea să fie destul de aproape imposibil de detectat..

Reamintim că, odată ce rezolvatorul DNS primește un răspuns, acceptă acel răspuns și nu efectuează alte întrebări. Aceasta înseamnă că pentru a furniza o adresă IP incorectă pentru o interogare DNS, un om rău trebuie doar să intercepteze primul rezolvator DNS care va gestiona solicitările DNS. În aproape toate cazurile, acesta este rezolvatorul DNS local de pe computer sau router. Vectorul de atac este să instalați malware pe propriul computer care preia controlul DNS-ului local sau al routerului.

Istoric de malware DNS Changer

Prima rundă de malware DNS changer a apărut în 2013 și a fost învinsă în mod solid. A fost o aventură complicată înființată de o companie din Estonia, numită Rove Digital. Acesta a operat o serie de servere DNS dăunătoare care au injectat reclame în paginile web. Apoi, Rove a desfășurat aplicații malware Windows și Mac OSX pe larg și care au reconfigurat rezolvatorii locali pentru a utiliza serverele DNS dăunătoare. Au fost făcute clic pe reclame în valoare de peste 14 milioane de dolari înainte de închiderea acestora.

Datorită naturii atacului, serverele DNS dăunătoare au fost descoperite și catalogate. Prin urmare, a fost destul de ușor de remediat; pur și simplu s-a ridicat la verificarea setărilor DNS de pe computer și la compararea acestora cu o listă de servere DNS Rove cunoscute. Dacă exista un meci, erai infectat. Un consorțiu numit Grupul de lucru pentru schimbarea DNS (DCWG) a fost creat pentru a ajuta utilizatorii să diagnostice și să remedieze infecțiile lor. Majoritatea linkurilor de pe acel site sunt acum moarte.

Deși nu este un malware din punct de vedere tehnic, China a fost cunoscută că își otrăvește propriul DNS ca instrument de cenzură. Serverele DNS pe care le folosesc cetățenii chinezi sunt configurate pentru a returna adrese IP incorecte pentru site-urile pe care departamentul Administrația Cyberspațială din China vrea să le facă indisponibil în interiorul țării. 

Vezi si: Cum să accesați site-urile blocate în China cu un VPN.

În trecut, aceste servere DNS ar returna IP-uri nule, care nu găzduiau conținut, astfel încât browser-ul vizitatorului să se termine. Într-o întorsătură mai recentă, DNS-ul Chinei pare să răspundă cu adresele IP ale site-urilor legitime pe care nu le aprobă în altă parte a lumii, ceea ce a dus la o scădere a unora dintre aceste site-uri din cauza cantității de trafic pe care o primesc brusc din cauza dezacordului. Vizitatori chinezi.

Istoric: Expresia „DNS otrăvire” înseamnă modificarea deliberată a unui server DNS pentru a returna adrese IP incorecte pentru un domeniu sau un set de domenii. Programul malware schimbător DNS modifică în esență utilizarea rețelei locale de servere DNS otrăvite.

Starea actuală a programelor malware schimbător DNS

Iterațiile actuale ale malware-ului DNS Changer sunt mult mai sofisticate și mult mai greu de detectat. Deși injectarea de reclame pentru a câștiga bani este încă un obiectiv principal al programelor malware pentru schimbătorul DNS, este mai insidioasă și, de asemenea, redirecționează oamenii către site-uri dăunătoare pentru a comite diverse tipuri de fraudă. O diferență majoră este că acum țintește routerele în loc de calculatoare individuale. Direcționarea routerelor este un vector de atac mult mai eficient, deoarece permite unei infecții a unui singur router să otrăvească DNS-ul tuturor dispozitivelor care utilizează routerul respectiv. Într-un cadru obișnuit de acasă sau de birou, un singur router oferă DNS unui număr foarte mare de dispozitive, fără a se obosi să încerce să infecteze rezolvarea DNS locală a fiecărui dispozitiv..

Anatomia unui atac malware malware modern Changer

Malware-ul DNS Changer de astăzi este implementat prin javascript în timpul unui atac tipic drive-by.

Fundal: Un atac impulsiv este descărcarea neintenționată a javascriptului în browser-ul dvs. de pe un site web infectat pe care l-ați vizitat. Termenul este o referință în limbă în obraz la modul indiscriminat în care împușcăturile conduse de victime sunt arbitrare..

După ce javascriptul este descărcat, execută un apel WebRTC pentru a determina adresa dvs. IP. Dacă adresa dvs. IP se potrivește cu un set de reguli prestabilite, atunci pe computer vă este descărcată o reclamă care conține amprente digitale ale routerului ascuns și datele de autentificare implicite ale administratorului routerului. Aceste informații sunt apoi extrase pentru a determina ce tip de router aveți. Apoi încearcă să vă conectați la routerul dvs. cu datele de identificare implicite pentru marca dvs. de router, pentru a vă schimba setările DNS. Proofpoint a descoperit cum funcționează acest proces și are o descriere lovitură cu lovitură a modului în care fiecare pas are loc aici.

Cum să detectați dacă ați fost infectat

Fără vectorul de atac bine definit pe care l-a folosit Rove Digital, este mult mai greu de detectat dacă ați fost infectat. Cu toate acestea, pot exista unele indicii care indică o problemă.

Erori SSL sau deloc SSL

SSL (mai corect numit TLS în aceste zile) înseamnă Secure Sockets Layer (TLS înseamnă Transport Layer Security și SSL a înlocuit). SSL are două locuri de muncă principale:

  • criptați informațiile între browserul dvs. și serverul web și
  • confirmați identificarea serverului web.

Al doilea punct este efectuat la achiziționarea certificatului. Vânzătorul de certificate are obligația de a se asigura că persoana care solicită un certificat pentru un domeniu este proprietarul propriu al domeniului respectiv. Acest lucru împiedică doar orice persoană să obțină un certificat SSL Bank of America, de exemplu. Există diferite niveluri de validare necesare înainte de eliberarea unui certificat:

  • Validarea controlului domeniului: Cel mai mic nivel de validare care necesită numai furnizorul de certificate să se asigure că solicitantul are controlul fizic al domeniului.
  • Validarea organizației: Spre deosebire de validarea domeniului care este preocupată doar de dovedirea controlului domeniului, validarea organizațională urmărește în plus să demonstreze că organizația care solicită certificatul este o organizație legală valabilă. Pentru a confirma acest lucru, se efectuează unele investigații asupra organizației.
  • Validare extinsă: Acesta este cel mai înalt nivel de validare și organizațiile care doresc să obțină certificate EV trebuie să demonstreze că activitatea lor este legitimă și autorizată corespunzător în jurisdicția lor.

Deși se întâmplă greșeli, teoretic este imposibil să obții un certificat dacă nu poți dovedi că deții domeniul. Așadar, chiar dacă un om rău ar putea să-ți corupă DNS-ul, ai ajunge la un site web care nu are deloc SSL sau SSL rupt de care browserul tău te-ar avertiza. Dacă observați un site care avea SSL nu mai face sau dacă vedeți avertizări ale browserului cu privire la problemele SSL pe un site, este posibil să nu fiți pe site-ul unde credeți că sunteți. (Citeste mai mult: Ghidul începătorului complet pentru criptarea SSL)

Creșterea anunțurilor sau redirecționarea către paginile care conțin anunțuri

Dezvoltatorii de programe malware fac bani din reclame. Câțiva cenți pe anunțuri pe clic până la mulți, când puteți face ca milioane de oameni să facă clic pe ele. Dacă observați o creștere a anunțurilor sau dacă sunteți redirecționat către pagini care conțin anunțuri, acesta este aproape sigur un semn de malware și, eventual, un program de schimbare DNS.

Verificați setările DNS ale routerului

Aproape fiecare router de pe piață are astăzi o pagină de setări unde pot fi definite serverele DNS. În cele mai multe cazuri, serverele DNS sunt dictate de Furnizorul de servicii Internet (ISP), iar setările DNS din routerul dvs. vor fi goale. Dar este posibil să înlocuiți serverele DNS ale ISP-ului dvs. prin setarea anumitor servere DNS în routerul dvs., ceea ce este exact ceea ce intenționează să facă programul malware DNS Changer. Există doi pași pentru a determina dacă routerul dvs. a fost infectat:

  1. Verificați setările DNS din router. Dacă nu sunt goale, atunci:
  2. Determinați dacă serverele DNS enumerate sunt dăunătoare.

Fiecare router este diferit, deci nu este posibil să enumerați instrucțiuni despre cum puteți găsi setările DNS pentru fiecare router. Va trebui să căutați o setare de servere DNS. În unele cazuri, se află în setările WAN (Rețeaua de zonă largă):

setări DNS router 1

În alte cazuri, îl puteți găsi în setările rețelei locale:

router 2 setări DNS

Este posibil să fie necesar să consultați documentația routerului pentru a găsi locul potrivit pentru a vizualiza setările DNS ale routerului.

Folosind testul meu în doi pași de mai sus pe prima captură de ecran, pot determina că:

  1. Setările DNS ale routerului meu sunt NU gol, așa că merg la pasul 2.
  2. Recunosc 8.8.8.8 și 8.8.4.4 ca servere DNS Google, deci știu că nu sunt răuvoitoare.

Însă, dacă nu aș fi sigur, aș face Google IP-urile pentru a vedea cui aparțin:

căutare pe server DNS Google

Dacă găsiți intrări în setările DNS ale routerului și nu puteți determina de unde provin, ar trebui să le eliminați.

Verificați setările DNS ale computerului dvs. local

Deși versiunea de astăzi a programului malware DNS Changer atacă în primul rând routerele, nu poate fi rău să verificați setările DNS ale computerului dvs. individual.

MacOS

măr -> Preferințe de sistem -> Reţea -> faceți clic pe rețeaua dvs.

Setări DNS macOS

ferestre

Panou de control -> Retea si internet -> Conexiuni de retea -> faceți clic dreapta pe conexiunea de rețea și selectați Proprietăți

Protocolul Internet Versiunea 4 (TCP / IPv4)
Protocolul Internet Versiunea 6 (TCP / IPv6)

Proprietăți clic:

Setări DNS IP Windows

Faceți clic pe Advanced dacă doriți să adăugați mai multe servere DNS.

Verificați setările curente din linia de comandă:

Linia de comandă a setărilor DNS Configurare DNS pentru Windows

Cum să vă protejați împotriva infecției sau a reinfecției

Reamintiți-vă că malware-ul modern DNS Changer încearcă să vă identifice routerul și apoi utilizați datele de autentificare implicite împotriva acestuia. Prin urmare, prima și cea mai bună protecție împotriva acestui lucru este să schimbați pur și simplu parola de administrare a routerului dvs. cât mai curând posibil. Această acțiune simplă va pune în evidență această tulpină particulară de malware.

De asemenea, este important să rețineți că atacul folosește javascript și webRTC pentru a avea succes. Am scris despre pericolele navigării cu javascript activat și, de asemenea, cum să dezactivați interogările webRTC. Există o minoritate vocală care simte că rețeaua se rupe complet dacă navigarea dvs. cu javascript este dezactivată, dar ca un veteran de mai mulți ani a făcut doar că vă pot asigura că web-ul este bine. Chiar dacă nu a fost, vechea adagie se aplică: comoditate sau securitate - alegeți unul. De asemenea, nu există niciun motiv pentru a permite interogări webRTC pentru majoritatea dintre noi. Dacă sunteți curios dacă permiteți interogări WebRTC, puteți utiliza acest test de scurgere DNS și instalați un plugin pentru Chrome sau Firefox pentru a-l dezactiva.

Dacă ați fost deja infectat și ați găsit servere DNS rău intenționate în router sau în setările locale de DNS, atunci probabil că aveți malware pe sistemul dvs. Menținem o listă cu cele mai bune soluții antivirus și ar trebui să rulați una dintre ele pentru a vă scana sistemul pentru acest tip de malware.

Este important să faci lucrurile în ordinea corectă. Dacă ați găsit intrări DNS dăunătoare în routerul sau computerul local, le-ați eliminat și apoi ați instalat software antivirus, veți dori să vizitați din nou setările DNS după ce scanarea malware va fi finalizată. Motivul pentru aceasta este că programele malware care au modificat setările DNS au existat probabil pe sistemul dvs. până la finalizarea scanării malware. Aceste intrări DNS proaste pe router-ul pe care le-ați eliminat ar fi putut fi imediat înlocuite de malware-ul existent. Numai după ce ați efectuat o scanare antivirus și ați eliminat acel malware, puteți fi mai sigur că setările DNS vor rămâne așa cum ați intenționat.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 64 = 74

Adblock
detector