Zlonamjeran softver DNS changer-a: kako ga otkriti i zaštititi se

Zlonamjeran softver DNS changer-a: kako ga otkriti i zaštititi seSustav naziva domena (DNS) dio je internetske infrastrukture koji rješava lako zapamćena imena domena koja ljudi koriste na nejasnije IP adrese koje koriste internetska računala. Bez DNS-a, morali bismo se sjetiti IP adrese svake nove web lokacije koju želimo posjetiti.

U tom se pogledu čini da se DNS uglavnom odnosi na praktičnost. U stvarnosti, DNS je također presudan dio internetske sigurnosti. Vaše računalo vjeruje DNS-u kako bi mu dao ispravnu IP adresu za bilo koju web lokaciju. Nažalost, postoji vrlo malo mjera opreza za otkrivanje pogrešnih DNS-ovih odgovora, što ostavlja sigurnosni jaz za iskorištavanje loših momaka.

Dublje zaronite u način funkcioniranja DNS-a

DNS je decentraliziran. Umjesto da se sastoji od jedne ogromne baze podataka s informacijama o svakoj domeni, te se informacije raspršuju po internetu na mnogim različitim poslužiteljima. Svaka domena ima barem jedan autoritativni poslužitelj imena.

Pozadina: Vjerodostojni poslužitelj imena je DNS poslužitelj koji sadrži sve DNS zapise za bilo koju određenu domenu.

Na primjer, u slučaju Comparitech.com, možemo vidjeti vjerodostojni poslužitelji imena Amazon DNS poslužitelji.

$ dig + kratak comparitech.com ns
ns-769.awsdns-32.net.
ns-1652.awsdns-14.co.uk.
ns-1459.awsdns-54.org.
ns-237.awsdns-29.com.

Dakle, ako bih trebao pitati jednog od tih poslužitelja imena da bih dobio IP adresu za web mjesto comparitech.com, vratit će IP adresu web poslužitelja na kojem se web mjesto nalazi.

$ dig + kratak comparitech.com @ ns-769.awsdns-32.net.
108.59.8.18

U tom primjeru upitao sam izravno jedan od poslužitelja imena Comparitech, ali to nije baš tako kako DNS sustav funkcionira u svakodnevnom radu. Kompletan DNS sustav uključuje ne samo DNS poslužitelje, već i DNS klijente. DNS klijenti nazivaju se DNS razrješnici.

Pozadina: DNS razdjelnik je nazvan na taj način jer je njegov posao preuzeti ime domene i riješiti ga na IP adresu koju vaše računalo može koristiti za pokretanje komunikacije na internetskom poslužitelju.

DNS razdjelnik nalazi se na gotovo svakom računalu i također obično na višim razinama, poput vašeg davatelja internetskih usluga. Kada program na vašem računalu želi znati IP adresu domene, on od DNS-a traži da riješi taj odnos domena-IP. Kako to radi rezolucija, nije poznato programom zahtjeva; samo je drago što mu se može vratiti IP adresa bez obzira na to kako je dobivena.

Gotovo svi DNS rezolucijski predmemoriraju upite kako bi se smanjilo opterećenje različitih DNS poslužitelja. DNS razrešivač na vašem računalu naziva se lokalni razrješitelj, a kada uputi IP adresu prvo će provjeriti predmemoriju da li poznaje taj odgovor. Ako to ne učini, uputit će se na DNS razlučivač sljedeće razine, koji je obično vaš usmjerivač. Taj rezolucijski program provjerava da li je odgovor već poznat, a ako ne, onda zahtjev upućuje na sljedeći, viši razlučivač. To će se nastaviti sve dok se ne nađe razrešivač koji ima odgovor i ne dostavi IP adresu ili dok se hijerarhija ne iscrpi i razriješivači niti autoritativni nazivi poslužitelja ne znaju IP adresu domene. Ovo se obično događa samo kada domena nije registrirana i zbog toga nema autoritativne nazive poslužitelja ili postoji neki drugi kvar u DNS rezolucijskom lancu.

Važan dio ovog postupka je da nakon što razriješivač dostavi odgovor, pretraživanje prestaje. Nijedan drugi rješavač neće biti ispitan čim jedan rezoluter uspije. U tome leži jaz u kojem se zlonamjerni softver DNS izmjenjivača može zadržati. O tome kasnije.

Postoji još jedan zadnji sloj DNS rezolucije koji nije dio DNS modela, ali ipak ima veliku snagu. Svako računalo ima datoteku s nazivom domaćin negdje u svom sustavu. U sustavima Unix i macOS / OSX obično se nalazi na / etc / hosts /, a za Windows sustave obično se nalazi u C: \ System32 \ drivers \ etc \ hosts. Ako imate neki egzotičniji operativni sustav, lokacija njegove datoteke domaćina vjerojatno je na ovom popisu.

U gotovo svim slučajevima, domaćini datoteke nadmašuju bilo koju aktivnost rezolucije DNS-a. Znači, ako sljedeću liniju ubacim u datoteku hosta, nikad neću moći uspješno učitati web stranicu Comparitech.com. To je zato što će moj web preglednik prihvatiti pogrešan odgovor u datoteci hostova i, budući da se drugi odgovori ne pitaju nakon što se odgovor vrati, više se provjere neće izvršavati.

123.45.67.89 comparitech.com www.comparitech.com

Datoteke datoteke daju DNS datum i ranije su se koristile za rezoluciju imena ARPANET, ali i danas postoje u sustavima. Primarno ga koriste tehnički ljudi kao što su programeri i administratori sustava kada je potrebno privremeno pregledati domenu na drugačijoj IP adresi od one koja je pohranjena u javnom DNS-u..

Datoteka host također se može izmijeniti tako da blokira IP adrese zlonamjernih web stranica. Ovdje možete naučiti kako izmijeniti datoteku domaćina radi blokiranja oglasa i zlonamjernog softvera.

Konačno, postoje razne vrste DNS zapisa. Na primjer, poslužitelji pošte označeni su MX zapisima, IPv6 adrese su sadržane u AAAA zapisima, a aliasi domena nazivaju se CNAME zapisi. Za potrebe ovog članka usredotočit ćemo se na zapis IPv4 A koji sadrži IPv4 adresu domene i prvenstveno se koristi kao IP adresa web stranice.

Odakle potječu DNS zapisi?

Vlasnici domena odgovorni su za stvaranje potrebnih DNS zapisa za funkcioniranje njihove domene. Te zapise treba stvoriti na mjestu gdje je autoritativni poslužitelj imena za tu domenu. Kad se domena prvi put kupi kod registrara domene, ti zapisi obično ukazuju na neku vrstu parkirne stranice kod registrara. Jednom kada se za domenu stvori web stranica ili druga usluga, obično se DNS zapisi mijenjaju tako da upućuju na novo web mjesto i poslužitelj pošte.

Pozadina: Registrator domene mjesto je na kojem se domena kupuje ili je preneseno nakon kupnje. Arhički registar pojma koristi se zato što je važna funkcija prodavača domene registrirati tu domenu u DNS sustavu kako bi se mogli riješiti njezini DNS zapisi.

Kako funkcionira zlonamjerni softver DNS izmjenjivača?

Cilj zlonamjernog softvera DNS-a je omogućiti da vaše računalo posjeti različite usluge nego što ih namjeravate i učinite to potpuno nevidljivim za vas. Na primjer, haker koji stvara duplikat web stranice Bank of America na nekom drugom poslužitelju samo je pola bitke. Sljedeći je korak nekako navesti ljude da posjete to web mjesto i nenamjerno unose svoje vjerodajnice za prijavu kako bi ih mogli poslati lošim momcima.

Ovo je oblik krađe identiteta. Jedan od uobičajenih načina pokušati navesti ljude da posjećuju ove web stranice je putem kampanja protiv neželjene pošte s nejasnim vezama u njima. Veze izgledaju kao da idu na zakonito mjesto Bank of America, ali u stvari ne. Ovakav način krađe identiteta prilično je lako poražen pomoću nekih osnovnih istražnih tehnika o kojima sam ovdje pisao.

Još je podmuklija i teško otkrivena metoda je da promijenite lokalni DNS razlučivač kako biste zlonamjernoj IP adresi postavili upite za domenu Bank of America. To znači da biste pokrenuli web preglednik i posjetili web stranicu Banke Amerike. Vaš preglednik će zatražiti od lokalnog DNS-a za rješavanje IP adrese web stranice BoA, a oštećeni DNS-ovac će vratiti IP adresu zlonamjernog web mjesta umjesto IP adrese legitimne stranice BoA. Zlonamjerna web lokacija učitava se u vašem pregledniku, a za razliku od tipičnih web mjesta za krađu identiteta koja prebivaju na drugim domenama, ta bi se web lokacija zapravo prikazala kao Bank of America u adresnoj traci vašeg preglednika, zbog čega je pogrešno usmjerenje nemoguće otkriti..

Podsjetimo da nakon što DNS razrešivač primi odgovor, on prihvaća odgovor i ne vrši daljnje upite. To znači da za pružanje pogrešne IP adrese za DNS upit, negativac mora presresti prvi DNS razrešivač koji će obraditi vaše DNS zahtjeve. U gotovo svim slučajevima to je lokalni DNS razrešivač na vašem računalu ili vašem usmjerivaču. Vektor napada jest instaliranje zlonamjernog softvera na svoje računalo koje preuzme kontrolu nad vašim lokalnim ili usmjerivačem DNS-a.

Povijest zlonamjernog softvera DNS Changer

Prvo kolo zlonamjernog softvera DNS promijenio se 2013. godine i snažno je poraženo. Bila je to složena afera koju je osnovala tvrtka u Estoniji pod nazivom Rove Digital. Operirao je niz zlonamjernih DNS poslužitelja koji su ubrizgali oglase u web stranice. Zatim je Rove uvelike i široko uveo zlonamjerni softver Windows i Mac OSX koji je rekonfigurirao lokalne razrješnike za upotrebu tih zlonamjernih DNS poslužitelja. Na oglase je stavljeno više od 14 milijuna dolara prije nego što su ugašeni.

Zbog prirode tog napada, zlonamjerni DNS poslužitelji otkriveni su i katalogizirani. Stoga je bilo prilično lako sanirati; jednostavno je trebalo provjeriti postavke DNS-a na računalu i usporediti ih s popisom poznatih Rove DNS poslužitelja. Ako je bilo podudaranja, bili ste zaraženi. Konzorcij pod nazivom DNS Change Working Working Group (DCWG) osnovan je kako bi pomogao korisnicima u dijagnostici i liječenju njihovih infekcija. Većina veza na toj web stranici sada je mrtva.

Iako nije tehnički zlonamjerni softver, poznato je da je Kina otrovala vlastiti DNS kao alat za cenzuru. DNS poslužitelji koji kineski državljani koriste konfigurirani su za vraćanje pogrešnih IP adresa za web mjesta koja uprava Kineskog prostora Kine želi učiniti nedostupnima unutar zemlje. 

Vidi također: Kako pristupiti web-lokacijama blokiranim u Kini s VPN-om.

U prošlosti bi ti DNS poslužitelji vraćali null IP-ove koji nisu sadržavali nijedan sadržaj tako da bi preglednik posjetitelja upravo isteknuo. U nedavnom zaokretu čini se da je kineski DNS reagirao IP adresama zakonitih web mjesta koja ne odobrava negdje drugdje u svijetu što je rezultiralo da neke od tih web lokacija propadnu zbog količine prometa koji iznenada dobivaju nenamjerno. Kineski posjetitelji.

Pozadina: Izraz "otrovati DNS" znači namjerno izmijeniti DNS poslužitelj kako bi vratio pogrešne IP adrese za domenu ili skup domena. Zlonamjeran softver DNS changer-a bitno modificira korištenje otrovane DNS poslužitelja u vašoj lokalnoj mreži.

Trenutno stanje zlonamjernog softvera DNS izmjenjivača

Trenutačne iteracije zlonamjernog softvera DNS Changer mnogo su sofisticiranije i puno ih je teže otkriti. Iako je ubrizgavanje oglasa kako bi zaradili novac i dalje glavni cilj zlonamjernog softvera DNS-a, ono je podmuklo i također preusmjerava ljude na zlonamjerne web lokacije kako bi počinili razne vrste prijevara. Glavna razlika je ta što sada cilja usmjerivače, a ne pojedinačna računala. Ciljanje usmjerivača je mnogo učinkovitiji vektor napada jer dopušta da jedna infekcija usmjerivača otrova DNS svih uređaja koji koriste taj usmjerivač. U uobičajenim postavkama za dom ili ured, jedan usmjerivač pruža DNS na velik broj uređaja bez ikakve muke pokušati zaraziti lokalnim DNS-ovim razlučivačem svakog uređaja..

Anatomija modernog napada zlonamjernog softvera DNS Changer

Današnji zlonamjerni softver DNS Changer razmješta se putem JavaScripta tijekom tipičnog napadačkog napada.

Pozadina: Pogon za napadom je nenamjerno preuzimanje JavaScripta u vaš preglednik sa zaražene web stranice koju ste posjetili. Izraz je jezički u obraz upućivanje na neselektivni način na koji pucnjave od vozača traže proizvoljne žrtve.

Nakon što se javascript preuzme, izvršava WebRTC poziv kako bi odredio vašu IP adresu. Ako se vaša IP adresa podudara s unaprijed određenim setom pravila, tada se na vaše računalo preuzima oglas koji sadrži skrivene otiske rutera i zadane vjerodajnice za prijavu administratora rutera. Te se informacije tada izvlače kako bi se utvrdilo koju vrstu usmjerivača imate. Potom se pokušava prijaviti na usmjerivač sa zadanim vjerodajnicama za vašu marku usmjerivača kako biste promijenili svoje postavke DNS-a. Proofpoint je otkrio kako ovaj proces funkcionira i opisao je kako se svaki korak ovdje odvija.

Kako otkriti jeste li zaraženi

Bez dobro definiranog vektora napada koji je koristio Rove Digital, mnogo je teže otkriti jeste li zaraženi. No mogu postojati tragovi koji ukazuju na problem.

SSL pogreške ili uopće nema SSL

SSL (ispravnije nazvan TLS ovih dana) označava sloj sigurnih utičnica (TLS znači sigurnost sigurnosnog sloja i zamijenio je SSL). SSL ima dva glavna posla:

  • šifrirati podatke između preglednika i web poslužitelja i
  • potvrdite identifikaciju web poslužitelja.

Druga se točka obavlja kad je certifikat kupljen. Dobavljač certifikata ima obvezu osigurati da je osoba koja traži potvrdu za domenu stvarni vlasnik te domene. To, primjerice, sprječava bilo koju osobu da dobije SSL certifikat Bank of America. Postoje različite razine provjere valjanosti prije izdavanja certifikata:

  • Provjera domene: Najniža razina provjere valjanosti koja zahtijeva samo dobavljača certifikata kako bi osigurao da podnositelj zahtjeva fizički kontrolira domenu.
  • Provjera organizacije: Za razliku od provjere domene koja se bavi samo dokazivanjem kontrole nad domenom, organizacijska provjera nadalje nastoji dokazati da je organizacija koja zahtijeva certifikat valjana i legalna organizacija. Da bi se ovo potvrdilo, provodi se neka istraga organizacije.
  • Proširena validacija: Ovo je najviša razina valjanosti i organizacije koje žele dobiti EV certifikate moraju dokazati da je njihovo poslovanje zakonito i pravilno licencirano u svojoj nadležnosti.

Iako se greške događaju, teoretski je nemoguće dobiti certifikat ako ne možete dokazati da ste vlasnik domene. Dakle, čak i ako je loš momak uspio pokvariti vaš DNS, završili biste na web lokaciji koja uopće nema SSL ili slomljeni SSL na koji bi vaš preglednik upozorio. Ako primijetite web mjesto na kojem je ranije postojao SSL ili na web-lokaciji vidite upozorenja o problemima s SSL-om, možda niste na mjestu gdje mislite da jeste. (Čitaj više: Kompletni vodič za početnike za šifriranje SSL-a)

Povećanje oglasa ili preusmjeravanje na stranice koje sadrže oglase

Programeri zlonamjernog softvera zarađuju novac od oglasa. Oglasi od nekoliko centi po kliku i do puno toga kada možete natjerati milijune ljudi da kliknu na njih. Ako primijetite porast oglasa ili ako ste preusmjereni na stranice koje sadrže oglase, to je gotovo sigurno znak zlonamjernog softvera, a moguće i zlonamjernog softvera DNS.

Provjerite DNS postavke usmjerivača

Gotovo svaki usmjerivač na tržištu danas ima stranicu postavki na kojoj se mogu definirati DNS poslužitelji. DNS poslužitelje u većini slučajeva diktira vaš pružatelj internetskih usluga (ISP), a postavke DNS-a u vašem usmjerivaču bit će prazne. Ali moguće je nadjačati DNS poslužitelje vašeg davatelja internetskih usluga postavljanjem određenih DNS poslužitelja u vašem usmjerivaču, a to je ono što zlonamjeran softver DNS Changer želi učiniti. Dva su koraka za utvrđivanje je li vaš usmjerivač zaražen:

  1. Provjerite postavke DNS-a u vašem usmjerivaču. Ako nisu prazne, tada:
  2. Utvrdite jesu li navedeni DNS poslužitelji zlonamjerni.

Svaki je usmjerivač drugačiji, tako da nije moguće navesti upute kako pronaći postavke DNS-a za svaki usmjerivač. Trebat ćete potražiti postavku DNS poslužitelja. U nekim se slučajevima postavlja u WAN (Wide Area Network) postavkama:

postavke DNS usmjerivača

U drugim slučajevima možete ga pronaći u postavkama lokalne mreže:

postavke DNS usmjerivača

Možda ćete trebati potražiti dokumentaciju usmjerivača kako biste pronašli odgovarajuće mjesto za pregled postavki DNS-a usmjerivača.

Pomoću gornjeg testa u dva koraka na prvoj snimci zaslona mogu utvrditi:

  1. DNS postavke mojeg usmjerivača su NE prazno pa prelazim na korak 2.
  2. Prepoznajem 8.8.8.8 i 8.8.4.4 kao Googleove DNS poslužitelje, tako da znam da nisu zlonamjerni.

Ali ako nisam bio siguran, Google bi dao te IP-ove da vidi kome pripadaju:

pretraživanje DNS poslužitelja google

Ako u DNS postavkama rutera pronađete unose i ne možete odrediti odakle dolaze, trebali biste ih ukloniti.

Provjerite DNS postavke lokalnog računala

Iako današnja verzija zlonamjernog softvera DNS Changer prvenstveno napada usmjerivače, ne može nauditi da provjerite postavke DNS-a vašeg računala..

MacOS

Jabuka -> Postavke sustava -> Mreža -> kliknite na svoju mrežu

postavke DNS macOS-a

Windows

Upravljačka ploča -> Mreža i Internet -> Mrežne veze -> desnom tipkom miša kliknite mrežnu vezu i odaberite Svojstva

Verzija 4 internetskog protokola (TCP / IPv4)
Verzija 6 internetskog protokola (TCP / IPv6)

Kliknite svojstva:

Postavke za Windows IP DNS

Kliknite Advanced ako želite dodati više DNS poslužitelja.

Provjerite trenutne postavke iz naredbenog retka:

Windows IPconfig DNS postavke naredbenog retka

Kako se zaštititi od infekcije ili ponovne infekcije

Podsjetimo da suvremeni zlonamjerni softver DNS Changer pokušava identificirati usmjerivač, a zatim protiv njega koristiti zadane vjerodajnice za prijavu. Stoga je prva i najbolja zaštita od toga da jednostavno promijenite administrativnu lozinku usmjerivača što je prije moguće. Samo će ta jednostavna akcija umanjiti taj poseban značaj zlonamjernog softvera.

Također je važno napomenuti da napad koristi JavaScript i webRTC za uspjeh. Pisala sam o opasnostima surfanja s omogućenim Javascript-om i o tome kako onemogućiti webRTC upite. Postoji vokalna manjina koja osjeća da se web potpuno pokvari ako je vaš surf sa JavaScriptom onemogućen, ali kao višegodišnji veteran toga što radim samo to, uvjeravam vas da je web u redu. Čak i ako nije, vrijedi stara poslovica: praktičnost ili sigurnost - odaberite je. Također nema razloga za većinu nas dopustiti webRTC upite. Ako vas zanima dopuštate li webRTC upite, možete upotrijebiti ovaj test provjere curenja DNS-a i instalirati dodatak za Chrome ili Firefox kako biste ga onemogućili..

Ako ste već zaraženi i pronašli ste zlonamjerne DNS poslužitelje u vašem usmjerivaču ili u vašim lokalnim postavkama DNS-a, vjerojatno imate zlonamjerni softver u vašem sustavu. Mi držimo popis najboljih antivirusnih rješenja i trebali biste pokrenuti jedno od njih kako biste skenirali vaš sustav s ovom vrstom zlonamjernog softvera.

Važno je raditi stvari ispravnim redoslijedom. Ako ste na usmjerivaču ili lokalnom računalu pronašli zlonamjerne unose DNS-a, uklonili ih i zatim instalirali antivirusni softver, htjet ćete ponovno posjetiti svoje postavke DNS-a nakon dovršetka skeniranja zlonamjernog softvera. Razlog za to je taj što je zlonamjerni softver koji je promijenio vaše DNS postavke vjerojatno i dalje postojao na vašem sustavu dok se ne završi skeniranje zlonamjernog softvera. One loše DNS unose u usmjerivač koje ste uklonili mogli su odmah zamijeniti postojećim zlonamjernim softverom. Tek nakon što pokrenete antivirusni pregled i uklonite taj zlonamjerni softver, možete biti sigurniji da će vaše DNS postavke ostati onako kako ste namjeravali.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 60 = 62

Adblock
detector