Подмена DNS сервера. Будьте осторожны
Хочу поделиться с вами случаем, который недавно со мной произошел. Надеюсь, кого-то эта статья сможет уберечь от потери приватных данных и, даже, денег.
Завязка
Началось все с того, что один из моих знакомых, посетовал, что мобильную версию ВКонтакте закрыли. Я очень удивился, потому как не видел для этого никак объективных причин, и поспешил проверить, так ли это. Переход на m.vk.com развеял мои сомнения — все работало. В ходе расспроса знакомого, выяснилось, что у него m.vk.com сообщает о том, что весь сервис переехал на мобильное приложение и предлагает это приложение скачать. Очевидно, это шалят вирусы, подумал я, и попросил знакомого дать взглянуть на его машину.
Первым делом, я самолично взглянул на этот фейк, все выглядело очень правдоподобно: было хорошо сверстано и URL был именно m.vk.com. Так что, можно было действительно подумать, что мобильная версия ВК закрылась.
Ну что это может быть? Конечно же, hosts! Открывая его, я уже был готов спасти знакомого от страшной напасти, но… в файле не оказалось ничего, кроме стандартных комментариев. Так же не было и другого, скрытого hosts, как это иногда бывает. Тщательное изучение запущенных процессов не дало ничего интересного, ровным счетом как и гуглирование предлагаемого для скачивания приложения. Я призадумался.
Мои мыслительные процессы прервал знакомый, сообщив, что та же самая история происходит и при попытке зайти в ВК с телефона. Это была зацепка. Телефон был подключен к домашней wi-fi точке, к той же, что и проблемный компьютер. Попросив знакомого зайти в ВК с мобильного интернета, отключившись от wi-fi, я отмел вариант заражения телефона — открывалась настоящая версия. Вывод был только один — заражен роутер.
Всему виной безответственность
Перейдя на 192.168.1.1, я попросил знакомого логин и пароль от роутера и услышал в ответ… admin:admin! Что?! Как можно было не сменить пароль на роутере раздающем wi-fi?! Поразительная безответственность! Знакомый пожал плечами.
Проверив DNS я обнаружил следующее:
Второй адрес мне хорошо известен, это DNS Google, а вот первый я раньше не встречал. Он был даже не из нашего региона.
Ничего, кроме как перейти по этому адресу, в голову не пришло. Предо мной предстал фейк QIWI, при чем, опять же, отменного качества. (Кстати, он до сих пор там).
Я удалил этот адрес из DNS, заменив его стандартным для нашего региона, сменил пароль на роутере и перезапустил его. После этого, все заработало как положено. Выслушав благодарности знакомого, я решил заняться фейком поплотнее.
Вот это поворот
2ip.ru сказал, что адрес украинский и показал из какого он диапазона. Диапазон был небольшим, поэтому логично было бы его просканировать. Сказано-сделано. Полчаса возни и был обнаружен другой интересный адрес. Вот он: 176.102.38.39.
Сейчас там расположена ненормативная лексика, но когда я его нашел, там была форма с названием «Fake admin panel» и поля для логина и пароля. Чем черт не шутит? Подумал я, и ввел admin:admin. Как вы думаете, что произошло?
Я оказался в админке, с логами всех входов в фейки мошенников! Поразительно, они попались на своем же методе заражения.
Признаю, я сначала подумал, что это ханипот, и попробовал войти в один из кошельков QIWI из лога. Данные были верными, на счету кошелька было около 1000 рублей. Значит, это не ханипот. Я вышел из кошелька, и начал изучать админку.
В тылу врага
Неплохие результаты (не считая btc), да?
Отдельно нужно отметить лог QIWI, судя по всему, ради него это все и было сделано. В логе QIWI отображался не только логин, пароль и IP, но и баланс на момент входа, а так же включено ли SMS подтверждение для платежей (что поразительно, в большей части аккаунтов оно было выключено). Такой лог, говорит о том, что после авторизации через фейк, человека авторизировало на реальном QIWI, и бедняга даже не подозревал о подвохе.
В правом верхнем углу отображается количество записей, которые еще не убраны в архив (замечу, что эти записи пополнялись очень быстро).
А внизу (на картинке не видно), были кнопочки для удобного экспорта не архивных логов в txt файл и кнопочка для восстановления всех записей из архива.
Ощущая, что мое время на исходе, я восстановил все записи из архива QIWI и скачал их себе. Хотел проделать тоже самое с остальными сервисами, но не смог. Потому как при следующем запросе я увидел ошибку 403, а потом и то, что там есть сейчас.
Результаты
Полученный файл я очистил от одинаковых записей и проверил нет ли там кошелька моего знакомого. Знакомому повезло, его кошелек в руки мошенников не попал.
Вот этот файл (естественно без паролей), можете проверить, нет ли там вашего кошелька.
Быть осторожен, хаброжитель, зло не дремлет!
Dns8 что это за вирус
хм.. весело
а политиках точно ничего такого нет?
кстати avz это скорее не лечилка, а рентген
давай может сюда стандартный отчет
оказался второй вариант 
файрволом блокировать выход с сервака в сеть на предмет dhcp (хотя обычно это и так должно быть закрыто)
возвращаемся к нашему барану
варианты
1. сканировать avz с поиском и блокировкой user/kernel rootkit
2. запустить regmon (sysintrnals) и включить обновление dns (ipconfig /registerdns)
вирь похоже свежайший, только по симптомам выявить можно
Vladisl@v, сделай на проблемной машине, когда она подхватит «левые адреса», команду ipconfig /all
Она тебе выдаст, в числе прочего, сервер DHCP, который был использован. Это и есть зараженная машина, которая раздает зловредные адреса.
SpaceCow DHCP тот же что и у всех. с ним все в норме.. поймите, вирь на самом пк, др машины в сетке получают все ок.. дописывается только ДНС сервера 2 штуки. резидентом висит..
Т.е. после подмены адресов ipconfig /all показывает нормальный DHCP сервер?
Просто совсем не факт, что вирь сидит на пораженной машине. Он вполне может быть где-то по соседству.
westx в безопасный режим
После смены DNS сервера на злонамеренный, злоумышленники могут перенаправить пользователей на поддельные сайты и перехватить логины и пароли, или, при наличии уязвимости в браузере, скомпрометировать целевую систему.
Троянское приложение, идентифицируемое Symantec как Trojan.Flush.M создает следующие файлы %Windir%\inf\ndisprot.inf и %System%\drivers\ndisprot.sys. Затем создает следующие записи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT»NextInstance» = «1»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000″Service» = «Ndisprot»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000″Legacy» = «1»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000″ConfigFlags» = «0»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000″Class» = «LegacyDriver»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000″ClassGUID» = «<8ECC055D-047F-11D1-A537-0000F8753ED1>»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000″DeviceDesc» = «ArcNet NDIS Protocol Driver»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\Control»*NewlyC reated*» = «0»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\Control»ActiveS ervice» = «Ndisprot»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\Enum»Count» = «1»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\Enum»NextInstance» = «1»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\TimestampMode» = «0»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot»Type» = «1»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot»Start» = «3»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot»ErrorControl» = «1»
Троян создает новую службу на системе со следующими характеристиками:
Как хакеры подменяют DNS-запросы с помощью «отравления» кэша
Подмена сервера доменных имен (DNS) — это кибератака, с помощью которой злоумышленник направляет трафик жертвы на вредоносный сайт (вместо легитимного IP-адреса). Злоумышленники используют метод «отравления» кэша DNS для перехвата интернет-трафика и кражи учетных данных или конфиденциальной информации. Отравление кэша DNS и подмена DNS — тождественные понятия, часто используемые как синонимы. Хакер хочет обманом заставить пользователей ввести личные данные на небезопасном сайте. Как ему этого добиться? С помощью отравления кэша DNS. Для этого хакер подменяет или заменяет данные DNS для определенного сайта, а затем перенаправляет жертву на сервер злоумышленника вместо легитимного сервера. Таким образом хакер добивается своей цели, ведь перед ним открываются широкие возможности: он может совершить фишинговую атаку, украсть данные или даже внедрить в систему жертвы вредоносную программу.
Что такое подмена DNS и отравление кэша?
Прежде чем начать разговор об отравлении кэша DNS, сначала давайте вспомним, что такое DNS и кэширование DNS. DNS — это всемирный каталог IP-адресов и доменных имен. Можно сказать, что это своеобразный телефонный справочник интернета. DNS переводит удобные для пользователей адреса, такие как varonis.com, в IP-адреса, например 92.168.1.169, которые используются компьютерами для работы в сети. Кэширование DNS — это система хранения адресов на DNS-серверах по всему миру. Для ускорения обработки ваших DNS-запросов разработчики создали распределенную систему DNS. Каждый сервер хранит список известных ему DNS-записей, который называется кэшем. Если на ближайшем к вам DNS-сервере нужный IP-адрес отсутствует, он запрашивает вышестоящие DNS-серверы до тех пор, пока адрес веб-сайта, на который вы пытаетесь попасть, не будет найден. После этого ваш DNS-сервер сохраняет эту новую запись в вашем кэше, чтобы в следующий раз получить ответ быстрее.
Примеры и последствия отравления кэша DNS
Концепция DNS не приспособлена к специфике современного интернета. Конечно, со временем DNS был усовершенствован, однако сейчас по-прежнему достаточно одного неправильно настроенного DNS-сервера, чтобы миллионы пользователей ощутили на себе последствия. Пример — атака на WikiLeaks, когда злоумышленники с помощью отравления кэша DNS перехватывали трафик, перенаправляя его на собственный клон сайта. Целью этой атаки было увести трафик с WikiLeaks, и она достигла определенного успеха. Отравление кэша DNS весьма непросто обнаружить обычным пользователям. В настоящее время система DNS построена на доверии, и это является ее слабым местом. Люди чересчур сильно доверяют DNS и никогда не проверяют, соответствует ли адрес в их браузере тому, что им в действительности нужно. Злоумышленники же пользуются этой беспечностью и невнимательностью для кражи учетных данных и другой важной информации.
Как работает отравление кэша DNS?
Отравление кэша DNS означает, что на ближайшем к вам DNS-сервере содержится запись, отправляющая вас по неверному адресу, который, как правило, контролируется злоумышленником. Существует ряд методов, которые используют злоумышленники для отравления кэша DNS.
Перехват трафика локальной сети с помощью подмены протокола ARP
Вы удивитесь, насколько уязвимой может быть локальная сеть. Многие администраторы могут пребывать в уверенности, что перекрыли все возможные доступы, но, как известно, дьявол кроется в деталях.
Одна из распространенных проблем — сотрудники, работающие удаленно. Можно ли быть уверенными, что их сеть Wi-Fi защищена? Хакеры могут взломать слабый пароль от сети Wi-Fi за считанные часы.
Еще одна проблема — открытые порты Ethernet, доступные всем желающим в коридорах, вестибюлях и других общественных местах. Просто представьте: посетитель может подключить к своему устройству кабель Ethernet, предназначенный для дисплея в вестибюле. Как хакер может использовать доступ к вашей локальной сети, полученный одним из перечисленных выше способов? Во-первых, он сможет создать фишинговую страницу для сбора учетных данных и другой ценной информации. Затем он может разместить этот сайт либо в локальной сети, либо на удаленном сервере, и для этого ему потребуется всего-навсего одна строка кода на Python. После этого хакер может начать следить за сетью с помощью специальных инструментов, таких как Betterrcap. На этом этапе хакер изучает сеть и производит рекогносцировку, но трафик все еще проходит через маршрутизатор. Затем злоумышленник может совершить подмену протокола разрешения адресов (ARP), чтобы изнутри изменить структуру сети. Протокол ARP используется сетевыми устройствами для связывания MAC-адреса устройства с IP-адресом в сети. Bettercap будет отправлять сообщения, заставляя все устройства в сети считать компьютер хакера маршрутизатором. Благодаря этой уловке хакер сможет перехватывать весь сетевой трафик, проходящий через маршрутизатор. Достигнув перенаправления трафика, злоумышленник может запустить модуль Bettercap для подмены DNS. Этот модуль будет искать любые запросы к целевому домену и отправлять жертве ложные ответы. Ложный ответ содержит IP-адрес компьютера злоумышленника, переправляя все запросы к целевому сайту на фишинговую страницу, созданную хакером. Теперь хакер видит трафик, предназначенный для других устройств в сети, собирает вводимые учетные данные и внедряет вредоносные загрузки.
Если же хакер не может получить доступ к локальной сети, он прибегнет к одной из следующих атак.
Подделка ответов с помощью атаки «дней рождения»
DNS не проверяет подлинность ответов на рекурсивные запросы, поэтому в кэше сохраняется первый ответ. Злоумышленники используют так называемый «парадокс дней рождения», чтобы попытаться предугадать и отправить поддельный ответ запрашивающей стороне. Для предугадывания атака «дней рождения» использует математику и теорию вероятностей. В этом случае злоумышленник пытается угадать идентификатор транзакции вашего DNS-запроса, и в случае успеха поддельная запись DNS попадает к вам раньше легитимного ответа. Успех атаки «дней рождения» не гарантирован, но в конце концов злоумышленник сможет подложить в кэш поддельный ответ. После того как атака увенчается успехом, хакер сможет видеть трафик от поддельной записи DNS до окончания жизненного цикла (TTL) записи DNS.
Эксплойт Каминского
Эксплойт Каминского является разновидностью атаки «дней рождения». Обнаруживший эту уязвимость Дэн Каминский впервые представил ее на конференции BlackHat в 2008 году. Суть эксплойта заключается в том, что сначала хакер отправляет DNS-резолверу запрос для несуществующего домена, например fake.varonis.com. Получив такой запрос, DNS-резолвер перенаправляет его на авторитетный сервер имен, чтобы получить IP-адрес ложного субдомена. На этом этапе злоумышленник перегружает DNS-резолвер огромным количеством поддельных ответов в надежде, что один из этих поддельных ответов совпадет с идентификатором транзакции исходного запроса. В случае успеха хакер подменяет в кэше DNS-сервера IP-адрес, например, как в нашем примере с varonis.com. Резолвер продолжит отвечать всем запрашивающим, что поддельный IP-адрес varonis.com является настоящим, пока не истечет жизненный цикл записи DNS.
Как обнаружить отравление кэша DNS?
Как обнаружить, что кэш DNS отравлен? Для этого нужно следить за вашими DNS-серверами в поисках индикаторов возможной атаки. Однако ни у кого нет вычислительных мощностей, чтобы справиться с такими объемами DNS-запросов. Лучшим решением будет применить к вашему мониторингу DNS аналитику безопасности данных. Это позволит отличить нормальное поведение DNS от атак злоумышленников.
• Внезапное увеличение активности DNS из одного источника в отношении одного домена свидетельствует о потенциальной атаке «дней рождения».
• Увеличение активности DNS из одного источника, который запрашивает у вашего DNS-сервера многочисленные доменные имена без рекурсии, свидетельствует о попытке подобрать запись для последующего отравления.
Помимо мониторинга DNS необходимо также вести мониторинг событий Active Directory и поведения файловой системы, чтобы вовремя обнаружить аномальную активность. А еще лучше будет использовать аналитику для поиска взаимосвязи между всеми тремя векторами. Это позволит получить ценную контекстную информацию для усиления стратегии кибербезопасности.
Способы защиты от отравления кэша DNS
И, наконец, используйте зашифрованные DNS-запросы. Модули безопасности службы доменных имен (DNSSEC) — это протокол DNS, который использует подписанные DNS-запросы для предотвращения их подмены. При использовании DNSSEC, DNS-резолверу необходимо проверить подпись на уполномоченном DNS-сервере, что замедляет весь процесс. Вследствие этого DNSSEC пока не получил широкого распространения.
DNS поверх HTTPS (DoH) и DNS поверх TLS (DoT) являются конкурирующими спецификациями для следующей версии DNS и, в отличие от DNSSEC, предназначены для обеспечения безопасности DNS-запросов без ущерба скорости. Тем не менее эти решения не идеальны, поскольку могут замедлить или полностью сделать невозможным локальный мониторинг и анализ DNS. Важно отметить, что DoH и DoT могут обходить родительский контроль и другие блокировки на уровне DNS, установленные в сети. Несмотря на это, Cloudflare, Quad9 и Google имеют общедоступные DNS-серверы с поддержкой DoT. Многие новые клиенты поддерживают эти современные стандарты, хотя их поддержка и отключена по умолчанию. Вы можете найти более подробную информацию об этом в нашем посте по безопасности DNS.
Подмена DNS заменяет легитимный IP-адрес сайта на IP-адрес компьютера хакера. Обнаружить подмену очень непросто, ведь с точки зрения конечного пользователя он вводит в браузере абсолютно нормальный адрес сайта. Несмотря на это остановить подобную атаку можно. Риски снизить можно, используя мониторинг DNS, например, от Varonis, а также стандарт шифрования DNS поверх TLS (DoT).
Отравление кэша: часто задаваемые вопросы
Ознакомьтесь с распространенными вопросами о подмене DNS и ответами на них.
Отравление кэша DNS и подмена кэша DNS (спуфинг) — это одно и то же?
Да, отравлением кэша и подменой кэша называют один и тот же тип кибератаки.
Как работает отравление кэша DNS?
Отравление кэша обманывает ваш DNS-сервер, сохраняя на нём поддельную запись DNS. После этого трафик перенаправляется на сервер, выбранный хакером, и там осуществляется кража данных.
Какие меры безопасности можно применять для защиты от отравления кэша DNS?
Владельцы сайта могут осуществлять мониторинг и аналитику для выявления подмены DNS. Кроме того, можно обновить DNS-серверы, чтобы использовать модули безопасности службы доменных имен (DNSSEC) или другую систему шифрования, например DNS поверх HTTPS или DNS поверх TLS. Повсеместное использование полного сквозного шифрования, такого как HTTPS, также может предотвратить подмену DNS. Брокеры безопасного облачного доступа (CASB) чрезвычайно полезны для этих целей. Конечные пользователи могут сбросить потенциально подделанный кэш DNS, периодически очищая кэш DNS своего браузера, или после подключения к небезопасной или общедоступной сети. Использование VPN может защитить от подмены DNS в локальной сети. Избегайте подозрительных ссылок. Это поможет избежать риска заражения кэша вашего браузера.
Как проверить, подверглись ли вы атаке с отравлением кэша?
После того как кэш DNS был отравлен, это сложно обнаружить. Куда лучшая тактика — осуществлять мониторинг ваших данных и защищать систему от вредоносных программ, чтобы уберечься от утечек данных в следствие отравления кэша DNS. Посетите нашу интерактивную лабораторию кибератак, чтобы увидеть, как мы используем мониторинг DNS для обнаружения реальных угроз кибербезопасности.
Как работает связь DNS?
Как злоумышленники отравляют кэш DNS?
Способов отравления кэша много, и вот самые распространенные из них: принудить жертву нажать на вредоносную ссылку, использующую встроенный код для изменения кэша DNS в браузере пользователя; взлом локального DNS-сервера с помощью «атаки через посредника». Вышеупомянутая «атака через посредника» использует подмену протокола разрешения адресов (ARP) для перенаправления DNS-запросов на DNS-сервер, контролируемый злоумышленником.
Что такое отравление кэша DNS?
Отравление кэша DNS — это действия по замене записи в базе данных DNS на IP-адрес, ведущий на вредоносный сервер, контролируемый злоумышленником.
Как выполняется подмена DNS?
Хакер выполняет атаку с подменой DNS, получая доступ и изменяя кэш DNS или перенаправляя запросы DNS на свой собственный DNS-сервер.
Dns8 что это за вирус
Рассмотрим подробнее схему реализации и методы защиты от подобного рода атак.
По мере того как пользователи становятся все более осведомленными относительно сетевых угроз, создатели вредоносов придумывают все более изощренные техники кражи персональной информации. Отравление кэша DNS (или DNS-спуфинг) – один из наиболее хитрых методов перенаправить потенциальную жертву на вредоносный сайт.
Рассмотрим подробнее схему реализации и методы защиты от подобного рода атак.
Как работает DNS сервер
DNS сервер можно сравнить с огромной телефонной книгой, но только для сайтов. После отсылки компьютером веденного URL’а, DNS сервер ищет в своей базе и сообщает компьютеру найденный IP-адрес. Теперь, когда связь между URL и IP-адресов установлена, компьютер сможет добраться до сайта.
Как работает кэш в DNS
Теперь, когда вы захотите повторно проверить банковский счет, нет нужды обращаться к DNS серверу еще раз, поскольку компьютер найдет нужный IP-адрес в кэше, сохраненным после недавнего визита. Можно сказать, что кэш DNS похож на миниатюрную телефонную книгу, где хранятся адреса сайтов, которые вы уже посещали.
Когда компьютер использует кэш, то не отлеживает обновление IP-адреса с момента последнего посещения сайта указанного сайта. В некотором смысле кэш DNS схож с памятью компьютера. Если значения внутри кэша изменились, компьютер, ничего не подозревая, будет использовать обновленное значение.
Предположим, что ваш кэш был атакован и IP-адрес банковского сайта изменен. Теперь во время ввода соответствующего URL’а компьютер находит в кэше вредоносный IP-адрес и переходит на поддельный сайт.
Уязвимы ли DNS сервера?
Поскольку компьютеры общаются с DNS сервером для получения IP-адреса, сразу же возникает вопрос, могут ли хакеры пойти альтернативным путем и взломать сам сервер? К сожалению, да. И последствия могут оказаться катастрофическими.
DNS сервера работают сродни вашему компьютеру. В случае поступление запроса на получение IP-адреса если сервер не знает, куда перенаправить пользователя, то делает запрос к другим DNS серверам, которые также хранят кэши.
Более того, сервера, не имеющие информации об IP-адресах для конкретного сайта, будут делать запрос к скомпрометированному серверу, что приведет к цепочке заражений.
Как избежать отравления кэша
Как бы ужасно не выглядела тема, связанная с отравлением кэша, существуют методы противодействия этой угрозе.
1. Регулярно обновляйте антивирус
В хорошем антивирусе должны быть реализованы средства защиты от отравления кэша DNS. Поскольку интернет полон разных рисков, важно использовать современные средства противодействия угрозам, желательно в режиме реального времени. Рекомендуем устанавливать проверенные антивирусы, некоторые из которых даже бесплатны.
2. Не загружайте подозрительные файлы
Риск стать жертвой отравления кэша DNS станет еще меньше, если вы не будете загружать сомнительные файлы и кликать на подозрительные ссылки и баннеры, часто используемые для распространения вредоносов, заточенных в то числе и на изменение кэша.
3. Используйте проверенные сервера
После того как предприняты базовые меры безопасности, настало время задуматься о DNS серверах.
Хороший DNS сервер никогда не будет доверять первому попавшемуся ответу от другого сервера, а будет перепроверять полученную информацию до тех пор, пока не будет полной уверенности в отсутствии отправления. Используя надежные сервера, вы можете быть уверенными в легитимности ответов на отправляемые запросы.
Обычно используются DNS сервера, предоставляемые провайдером. Соответственно, надо пользоваться таким провайдером, который придерживается высоких стандартов безопасности.
Альтернативный вариант: использовать независимые DNS сервера с хорошей репутацией.
4. Периодически удаляйте кэш
В случае каких-либо подозрений немедленно обнуляйте кэш DNS, и еще раз проверьте сервера, которыми вы пользуетесь. Конкретные методы удаления кэша зависят от используемой операционной системы.
5. Тщательно перепроверяйте посещаемые сайты
При посещении важных сайтов, как, например, интернет-банка, всегда следует проявлять особую бдительность. К сожалению, URL поддельного сайта может выглядеть именно так, как вы ввели, поскольку компьютер полагает, что получен легитимный IP-адрес.
Однако если вы заметили отсутствие HTTPS-шифрования или нечто подозрительное, высока вероятность, что вы находитесь на поддельном сайте. В этом случае не следует вводить логин с паролем, тут же проверить систему на вирусы и очистить кэш.
6. Перезагружайте роутер
Роутеры также могут хранить собственный кэш DNS, который также может оказаться отравленным. Для большей уверенности в безопасности следует периодически перезагружать роутер с целью сброса кэша.
DNS сервера ускоряют просмотр страниц, но также могут стать причиной серьезных неприятностей. Однако если вы предпримите хотя бы базовые методы защиты, то никогда не станете жертвой атак, связанных с отравлением кэша DNS.
Семейство файловых инфекторов Win32/Sality известно уже давно и использует ботнет на основе P2P еще с 2003 г. Sality может выступать как в роли вируса, так и даунлоадера других вредоносных программ, которые используются для рассылки спама, организации DDoS, генерации рекламного трафика или взлома VoIP аккаунтов. Команды и файлы, передаваемые через сеть Sality, зашифрованы с использованием RSA (т. н. цифровая подпись). Модульная архитектура вредоносной программы, а также долговечность ботнета показывает насколько хорошо злоумышленники подошли к созданию этого вредоносного кода.
IP-адрес, который используется в качестве основного DNS-сервера на скомпрометированном роутере, на самом деле, является частью сети Win32/Sality. Существует еще одна модификация вредоносной программы – Win32/RBrute.B, она устанавливается Sality на скомпрометированных компьютерах и может выступать в качестве DNS или HTTP прокси-сервера для доставки поддельного установщика браузера Google Chrome к пользователям, которые были перенаправлены через вредоносный роутер.
Можно сказать, что техника модификации основного DNS роутера уже достаточно распространена для различных целей, начиная, с целей кражи данных онлайн-банкинга и заканчивая блокированием подключений клиента к веб-сайтам security-вендоров. Особенно это стало актуально в связи с недавним обнаружением уязвимостей в firmware различных моделей роутеров. Win32/RBrute.A пытается найти административные веб-страницы роутеров путем сканирования диапазона IP-адресов, полученных с C&C-сервера. В дальнейшем, отчет об этой операции будет отправлен обратно на C&C-сервер. На момент проведения нашего анализа, Win32/RBrute.A использовался для получения доступа к следующим моделям роутеров:
Эта вредоносная программа чем-то напоминает известный DNSChanger, который перенаправлял пользователей на установку вредоносных программ через рекламу поддельного ПО. На сами рекламные сайты пользователь перенаправлялся через вредоносный DNS.
После того как операция установки DNS-сервера завершена, DNS-запись роутера для этого ПК становится бесполезной и ОС будет использовать явным образом прописанный в реестре сервер. С другой стороны, другие компьютеры, которые будут пытаться подключиться к этому роутеру, подвергнутся вредоносным перенаправлениям, так как DNS-запись роутера по-прежнему модифицирована.
Вредоносный код Win32/Sality, который занимается модификацией DNS-сервиса роутера, состоит из двух исполняемых файлов: сканер адресов роутеров и DNS/HTTP-сервер.
Рис. Блок-схема работы Win32/RBrute.A.
После того как IP-адрес отправлен на C&C, бот получает команду на вход в панель управления роутером. При этом используются логин и пароль, выданные C&C. В случае успешного входа, вредоносный код модифицирует адрес основного DNS-сервера, который теперь будет указывать на другой компьютер, зараженный другой модификацией RBrute – Win32/RBrute.B.
Ранее мы упоминали компонент вредоносной программы, который выполняет роль DNS/HTTP-сервера. Он обнаруживается как Win32/RBrute.B и выполнение его кода делится на три потока: управляющий поток, поток DNS-сервера и поток HTTP-сервера. Хотя этот вредоносный компонент может одновременно запустить и DNS- и HTTP-сервисы, на самом деле, он выбирает для запуска какой-то один из них с использованием случайно сгенерированной величины. Специальная константа в формуле используется для гарантии, что в 80% случаях бот будет работать как DNS-сервер, хотя в начальный период отслеживания операции с использованием этой вредоносной программы мы наблюдали константу, которая гарантировала 50% случаев работы в качестве DNS.
Рис. Код выбора DNS- или HTTP-сервера для старта.
RBrute.B имеет и другую ветвь кода, которая исполняется в том случае, когда вышеприведенный код отработал неверно.
Рис. Иной механизм запуска потоков HTTP/DNS-серверов в коде вредоносной программы.
Управляющий поток (control thread) используется для отправки данных, собранных вредоносной программы, обратно на C&C-сервер. Каждые две минуты RBrute.B отправляет пакет данных по жестко зашитому IP-адресу. Этот пакет содержит информацию о системе, в которой работает бот. Затем управляющий сервер предоставит боту IP-адрес, который будет использоваться для доставки поддельного установщика Google Chrome. Если бот работает в режиме DNS-сервера, то IP-адрес C&C-сервера будет совпадать с адресом, который нужно использовать в качестве сервера распространения поддельного установщика браузера. В противном случае, управляющий сервер отправит тот IP-адрес, который находится за пределами инфраструктуры Sality P2P и будет использоваться для распространения поддельных установщиков Chrome.
Ниже приводится информация о системе, которая отправляется управляющим потоком на удаленный сервер.
0x00 DWORD контрольная_сумма (CRC32)
0x04 WORD размер_полезной_нагрузки
0x06 BYTE не_используется
0x07 BYTE режим_работы (HTTP – 0x32 или DNS – 0x64)
Ниже показан скриншот с информацией пакета, отправленного на C&C.
Рис. Пакет, отправляемый ботом на удаленный сервер. Синим отмечено поле контрольной суммы, красным поле размера полезной нагрузки, черным зашифрованная константа режима работы сервера, зеленым зашифрованная информация о системе.
Информация о системе может иметь вид (в пакете зашифрована с использованием RC4):
9BC13555|24.03.2014 21:56:27|United States|C:\WINDOWS|Microsoft Windows XP|proc#0 QEMU Virtual CPU version 1.0|1|358|511|1117|1246|0|2|0|0|
Управляющий сервер затем ответит пакетом, который содержит IP-адрес для использования. Пакет имеет вид.
0x00 DWORD контрольная_сумма (CRC32)
0x04 WORD размер_полезной_нагрузки
0x06 BYTE не_используется
0x07 BYTE команда (0x02 – запустить или 0x03 – остановить сервис)
0x08 DWORD IP_адрес_сервиса (Система с запущенным Win32/Rbrute.B или другой HTTP-сервер)
Мы упоминали отдельный поток HTTP-сервиса в Win32/RBrute.B. Рассмотрим его более подробно. Этот сервис обслуживает пользователей, которые были перенаправлены через вредоносный DNS роутера на скачивание поддельного дистрибутива браузера Google Chrome. При получении запроса через HTTP, поток сервиса сначала проанализирует параметр User-Agent в заголовке. Дальнейшее поведение сервиса зависит от того, что находится в этом параметре.
В компоненте Win32/RBrute.B эта функция вызывается в начале исполнения вредоносной программы.
Рис. Отсюда производится вызов функции add_to_firewall_exception.
Аналогичный код находится в компоненте спам-бота, который принадлежит Sality.
Рис. Код спам-бота Sality, в котором вызывается add_to_firewall_exception.
Наши данные телеметрии показывают, что активность Win32/Sality в настоящее время снижается или, по крайней мере, остается на таком же уровне как в 2012 г. Мы полагаем, что сокращение числа обнаружений связано с низкой эффективностью текующих векторов заражения пользователей. Это могло бы объяснить тот факт, что злоумышленники ищут новые способы для распространения Win32/Sality.
Если мы посмотрим на статистику обнаружений Sality за последний год, то увидим небольшое увеличение количества обнаружений, примерно, в декабре 2013. Эта дата совпадает со временем первой активности компонента RBrute, который выполняет подмену DNS-сервиса роутера.
Мы не уверены в настоящей эффективности компонента RBrute для злоумышленников, поскольку подавляющее количество роутеров прослушивают только жестко фиксированное адресное пространство (т. е. 192.168.0.0/16), что делает панель управления недоступной из интернета. Кроме этого, компонент RBrute не выполняет сильный перебор паролей, а только пытается применить десять паролей из своего списка.
Простые векторы заражения пользователей вредоносным кодом Win32/Sality не могут быть достаточно эффективными, чтобы поддерживать популяцию ботнета на соответствующем уровне. Злоумышленники нуждались в новом способе распространения вредоносной программы и таким способом стал DNS hijacking для роутера. В зависимости от того, подвержен ли выбранный роутер эксплуатации, его жертвами перенаправлений может стать множество подключенных к нему пользователей. Мы рекомендуем использовать безопасные пароли для аккаунтов панелей управления роутеров, а также проверять действительно ли необходимо разрешать доступ к ней из интернета.
Достаточно часто в интернете можно встретить информацию о том, что при возникновении проблем с доступом в интернет необходимо прописать DNS 8.8.8.8.
На таких сайтах также даются инструкции, как правильно это сделать, но редко когда авторы толково объясняют, что это такое.
Более того, далеко не все пользователи понимают, как все это работает, поэтому не могут решить, нужно ли им пользоваться таким вот DNS.
Поэтому мы, продолжая наш цикл статей о понятиях, касающихся сетей, простым языком объясним, что такое DNS, что за адрес 8.8.8.8 и как решить, стоит ли вам его использовать.
Ранее мы говорили о том, что такое LAN, SSID и рассматривали другие понятия. Теперь мы продолжаем наше увлекательное путешествие в мир компьютерных сетей.
Начнем с истоков
Наш разговор мы начнем с того, что вообще такое DNS и как оно работает. Официальное определение звучит следующим образом: DNS – это система доменных имен.
Если сказать по-русски, то DNS представляет собой систему, которая раздает каждому узлу сети какое-то уникальное имя. Это имя называется доменом.
Цель существования такого понятия состоит в том, чтобы человеку было более удобно и просто запомнить адрес сайта в интернете.
Дело в том, что у каждого ресурса есть IP-адрес, но обычному пользователю будет очень неудобно запоминать что-то вроде 138.201.233.116 (это, кстати, и есть IP-адрес нашего сайта, geek-nose.com).
Поэтому и были созданы домены.
На рисунке 1 можно видеть пример распределения доменов.
Рис. 1. Пример работы DNS
Сейчас мы разберемся в том, что это такое. Не переживайте.
А для этого рассмотрим поэтапно работу DNS. Выглядит все это следующим образом:
Прочитайте еще раз. Обычно это помогает. Но здесь все достаточно просто.
Из всего вышесказанного можно сделать вывод, что DNS-сервер 8.8.8.8 является локальным сервером имен, через который происходит обращение к серверам верхних уровней, в частности, к корневому серверу.
Через него можно получить IP-адрес сайта и корректно отобразить его в браузере.
Как все это происходит, описано в списке выше.
Раз есть альтернативные, значит, должны быть и основные. Это действительно так.
Но проблема в том, что иногда они попросту не выдерживают нагрузки на себя – слишком уж много пользователей пытаются одновременно подключиться к какому-то ресурсы, очень много запросов и так далее.
Поэтому множество крупных корпораций зарегистрировали собственные адреса DNS-серверов, которые работают независимо от основных.
Они выполняют те же задачи, что и официальные серверы.
Одной из таких крупных компаний является Google. Специалисты этой корпорации разработали два собственных DNS-сервера.
Рис. 3. Google – корпорация, которая разработала собственные DNS-серверы
Итак, с теорией мы разобрались. Теперь перейдем к практике и рассмотрим, как поменять DNS-серверы и в каких случаях это нужно делать.
Обратите внимание на программу DNS Jumper. Она предназначена для быстрого изменения значений DNS-серверов. Утилита распространяется бесплатно, поддерживает русский язык и запускается без установки.
Пошаговая инструкция по смене DNS-сервера
Эта процедура выполняется следующим образом:
Рис. 4. Доступ к центру управления сетями
Рис. 5. Нужный пункт в центре управления
Рис. 6. Список доступных подключений и выпадающее меню нужного
Рис. 7. Доступ к свойствам протокола версии 4
Рис. 8. Редактирование адресов DNS-серверов
Вот так все просто!
Но есть несколько критериев, по которым можно определить, стоит ли вам выполнять вышеописанную процедуру.
Когда лучше подключиться к DNS-серверу 8.8.8.8
Речь идет о следующих критериях:
В любом случае, DNS-серверы от Гугл являются быстрыми, бесплатными и, что самое главное, стабильными!
Рис. 9. Смена DNS может помочь обойти блокировку сайта
Многие пользователи на форумах пишут, что неспроста Google дает пользователям такую альтернативу.
С помощью своих серверов они собирают данные о пользователях и спокойно могут читать нашу переписку, брать логины, пароли и получать доступ к другой личной информации.
Поэтому есть смысл разобраться в том, так ли это на самом деле.
Вам это может быть интересно:
Насколько безопасны DNS от Гугл
Дэвид Улевич, основатель OpenDNS, сервиса, который тоже предоставляет DNS-серверы многим пользователям, выразил мысль о том, что Google действительно будет собирать всю личную информацию.
Сам директор Гугл Эрик Шмидт говорил о том, что компания может раскрывать такие данные.
Более того, уже были случаи, когда такие манипуляции становились причиной начала судебного разбирательства.
Но исходя из практики, единственное, чем могут быть опасны такие серверы, так это наличие контекстной рекламы.
То есть Google будет собирать информацию о вас, а потом, на основании собранных данных, показывать определенные рекламные материалы.
Это происходит даже если не использовать альтернативные DNS от Гугл. Только тогда используются ваши поисковые запросы. Поэтому избежать этого никак не получится.
Более того, от контекстной рекламы вообще можно избавиться, если поставить на свой браузер те или иные расширения, к примеру, AdBlock. Ничего сложного в этом нет.
Поэтому можно сделать вывод о том, что DNS-сервер 8.8.8.8 можно и нужно использовать при возникновении проблем с официальными DNS.
Рис. 10. DNS-серверы от Google безопасны
Ниже наглядно показана процедура смены сервера.
Если не открывается сайт, то это не значит, что сайт не работает. Скорей всего Ваш провайдер не спешит обновлять список ДНС серверов. Стоит позвонить и объяснить какие они плохие или вместо обращения в суппорт провайдера настраиваем протокол интернета TCP/IP с помощью бесплатного DNS сервера от Google. Для этого в свойствах протокола интернета TCP/IP
«Мы живем в обществе, где технологии являются очень важной частью бизнеса, нашей повседневной жизни. И все технологии начинаются с искр в чьей-то голове. Идея чего-то, чего раньше не существовало, но однажды будет изобретено, может изменить все. И эта деятельность, как правило, не очень хорошо поддерживается»
