Шкідливе програмне забезпечення DNS чейнджера: як його виявити та захистити себе

Система доменних імен (DNS) – це частина інфраструктури Інтернету, яка вирішує легко запам’ятовувані доменні імена, якими користуються люди, на більш неясні IP-адреси, якими користуються комп’ютери, підключені до Інтернету. Без DNS нам слід було б пам’ятати IP-адресу кожного нового веб-сайту, який ми хочемо відвідати.

У зв’язку з цим DNS, здається, пов’язаний з зручністю. Насправді DNS також є важливою частиною безпеки Інтернету. Ваш комп’ютер довіряє DNS для надання правильної IP-адреси для будь-якого сайту. На жаль, існує дуже мало запобіжних заходів для виявлення неправильних відповідей DNS, що залишає розрив у безпеці для експлуатації поганих хлопців.

Глибше зануритися в роботу DNS

DNS децентралізований. Замість того, щоб складатися з однієї масивної бази даних з інформацією про кожен домен, ця інформація розкидана по Інтернету на багатьох різних серверах. Кожен домен має принаймні один авторитетний сервер імен.

Передумови: Авторитетний сервер імен – це сервер DNS, який містить усі записи DNS для будь-якого конкретного домену.

Наприклад, у випадку Comparitech.com ми можемо побачити авторитетні сервери імен – сервери Amazon DNS.

$ dig + коротка comparitech.com ns
ns-769.awsdns-32.net.
ns-1652.awsdns-14.co.uk.
ns-1459.awsdns-54.org.
ns-237.awsdns-29.com.

Тому, якщо я запитав один із цих серверів імен, щоб отримати IP-адресу веб-сайту comparitech.com, він поверне IP-адресу веб-сервера, на якому розміщено веб-сайт..

$ dig + короткий comparitech.com @ ns-769.awsdns-32.net.
108.59.8.18

У цьому прикладі я запитав один із серверів імен Comparitech безпосередньо, але це не зовсім так, як працює система DNS у щоденній роботі. Повна система DNS включає не тільки DNS-сервери, але й клієнтів DNS. Клієнти DNS називаються DNS-роздільниками.

Передумови: Розрішувач DNS названий таким чином, оскільки його завдання полягає в тому, щоб взяти доменне ім’я та дозволити його до IP-адреси, яку ваш комп’ютер може використовувати для ініціювання зв’язку з Інтернет-сервером.

Резолютор DNS знаходиться майже на кожному комп’ютері, а також зазвичай на більш високих рівнях, наприклад, у вашого постачальника послуг Інтернету. Коли програма на вашому комп’ютері хоче знати IP-адресу домену, вона просить DNS-рішення для вирішення цього відносини домен-IP. Як це робить резолютор, невідомо програми запиту; вона просто рада повернути IP-адресу незалежно від способу її отримання.

Практично всі DNS-рішення DNS кешують запити, щоб зменшити навантаження на різні DNS-сервери. Розв’яжувач DNS на вашому комп’ютері називається локальним резолютором, і коли він запитує IP-адресу, він спочатку перевірить кеш-пам’ять, щоб перевірити, чи знає він вже цю відповідь. Якщо цього не відбудеться, він посилатиметься на DNS-розв’язник наступного рівня, який зазвичай є вашим маршрутизатором. Цей резолютор робить ту саму кеш-перевірку, щоб перевірити, чи знає відповідь вже, а якщо ні, то він пересилає запит до наступного, вищого розділювача. Це триває до тих пір, поки не з’явиться вирішальник, який має відповідь і не поставить IP-адресу, або поки ієрархія не буде вичерпана, і жодні розв’язувачі, ані авторитетні сервери імен не знають IP-адресу домену. Останнє, як правило, відбувається лише тоді, коли домен не зареєстрований і тому не має авторитетних серверів імен або є якась інша несправність у ланцюзі DNS-рішень.

Важливою частиною цього процесу є те, що як тільки резольвер подає відповідь, пошук припиняється. Жоден інший розв’язувач не буде запитуватися, як тільки один резолютор буде успішним. У цьому криється прогалина, в якій може перехопити зловмисне програмне забезпечення DNS. Детальніше про це пізніше.

Є ще один останній шар у роздільній здатності DNS, який не є частиною моделі DNS, але, тим не менш, має велику потужність. Кожен комп’ютер має файл з ім’ям хостів десь у своїй системі. У системах Unix та macOS / OSX він зазвичай знаходиться в / etc / hosts /, а для систем Windows він зазвичай знаходиться у C: \ System32 \ driver \ etc \ hosts. Якщо ви працюєте з більш екзотичною операційною системою, розташування файлу хостів, можливо, є в цьому списку.

Майже у всіх випадках хости файли перетворюють козир будь-якої активності DNS-рішення. Це означає, що якщо я поміщую наступний рядок у свій файл хостів, я ніколи не зможу успішно завантажити веб-сайт Comparitech.com. Це тому, що неправильний відповідь у моєму файлі хостів буде прийнятий моїм веб-браузером, а оскільки після повернення відповіді відповіді не запитуються, інші перевірки більше не виконуватимуться.

123.45.67.89 comparitech.com www.comparitech.com

Хости файли DNS датувались і спочатку використовувались для вирішення імен ARPANET, але він існує і сьогодні в системах. Її основним чином користуються технічні люди, такі як розробники та системні адміністратори, коли є необхідність тимчасово переглянути домен за іншою IP-адресою, ніж той, що зберігається в загальнодоступному DNS.

Файл хостів також можна змінювати, щоб блокувати IP-адреси шкідливих веб-сайтів. Тут можна дізнатися, як змінити файл хостів, щоб заблокувати рекламу та зловмисне програмне забезпечення.

Нарешті, існує безліч різних типів записів DNS. Наприклад, поштові сервери позначаються записами MX, адреси IPv6 містяться в записах AAAA, а псевдоніми домену називаються записами CNAME. Для цілей цієї статті ми просто зосередимось на записі IPv4 A, який містить IPv4 адресу домену і використовується головним чином як IP-адреса веб-сайту.

Звідки беруться записи DNS?

Власники доменів відповідають за створення необхідних DNS-записів для функціонування свого домену. Ці записи потрібно створити там, де є авторитетний сервер імен для цього домену. Коли домен вперше купується у реєстратора домену, ці записи зазвичай вказують на певний тип сторінки паркування у реєстратора. Після створення веб-сайту або іншої служби для домену зазвичай записи DNS змінюються, щоб вказувати на новий веб-сайт та поштовий сервер.

Передумови: Реєстратор домену – це місце, де доменне ім’я придбано або передано після його придбання. Архаїчний термін реєстратор використовується тому, що важливою функцією продавця домену є реєстрація цього домену в системі DNS, щоб його записи DNS могли бути вирішені.

Як працює шкідливе програмне забезпечення, що змінює DNS??

Завдання зловмисного програмного забезпечення, що змінюється DNS, – змусити ваш комп’ютер відвідувати різні сервіси, ніж ви плануєте, і зробити це абсолютно непомітним для вас. Наприклад, хакер, який створює дублікат веб-сайту Банку Америки на якомусь іншому сервері, – це лише половина битви. Наступний крок – якимось чином змусити людей відвідувати цей сайт і мимоволі вводити свої реєстраційні дані, щоб їх можна було надіслати поганим хлопцям.

Це форма фішингу. Один із поширених способів спробувати заманювати людей відвідувати ці веб-сайти – це кампанії зі спамом, що містять спам, з неясними посиланнями. Посилання виглядають так, як вони переходять на законний сайт Банку Америки, але насправді цього немає. Цей тип фішингу досить легко перемогти за допомогою деяких основних методів дослідження, про які я писав тут.

Більш підступний і важко виявити метод – це змінити місцевий DNS-рішення, щоб надати зловмисну ​​IP-адресу запитам для домену Bank of America. Це означає, що ви запустили веб-браузер і відвідаєте веб-сайт Банку Америки. Ваш веб-переглядач запитає місцевий DNS-розв’язник щодо IP-адреси веб-сайту BoA, а пошкоджений DNS-вирішитель поверне IP-адресу шкідливого сайту замість IP-адреси законного сайту BoA. Зловмисний сайт завантажуватиметься у вашому веб-переглядачі, і на відміну від типових фішинг-сайтів, які розміщені в інших доменах, цей сайт фактично відображатиметься як Банк Америки в адресному рядку веб-переглядача, що робить помилки майже неможливими для виявлення.

Нагадаємо, щойно DNS-розв’язувач отримує відповідь, він приймає цю відповідь і не виконує більше запитів. Це означає, що для надання невірної IP-адреси для запиту DNS, поганий хлопець повинен просто перехопити перший DNS-вирішальник, який збирається обробляти ваші запити DNS. Майже у всіх випадках це локальний дозвіл DNS на власному комп’ютері чи маршрутизаторі. Вектор атаки полягає у встановленні зловмисного програмного забезпечення на власному комп’ютері, який контролює ваш локальний або маршрутизатор DNS.

Історія зловмисного програмного забезпечення DNS Changer

Перший раунд зловмисного програмного забезпечення DNS змінився в 2013 році і зазнав поразки. Це була складна справа, створена компанією в Естонії Rove Digital. Він керував серією шкідливих серверів DNS, які вводили рекламу у веб-сторінки. Далі Rove розгорнув зловмисне програмне забезпечення Windows і Mac OSX далеко і широко, що перенастроював локальні рішення для використання цих шкідливих серверів DNS. До закриття оголошень було натиснуто понад 14 мільйонів доларів оголошень.

Через характер цієї атаки шкідливі сервери DNS були виявлені та каталогізовані. Тому було досить легко відремонтувати; це було просто перевіркою налаштувань DNS на вашому комп’ютері та порівнянням їх зі списком відомих серверів DNS Rove. Якщо була сірник, ви заразилися. Був створений консорціум під назвою Робоча група зі змін DNS (DCWG), щоб допомогти користувачам діагностувати та вилікувати їх інфекції. Більшість посилань на цьому веб-сайті зараз мертві.

У Китаї технічно не зловмисне програмне забезпечення, як відомо, отруює власний DNS як інструмент цензури. Сервери DNS, які використовують китайські громадяни, налаштовані для повернення неправильних IP-адрес для сайтів, які Управління кіберпростору Китаю хоче зробити недоступними всередині країни. 

Дивись також: Як отримати доступ до заблокованих у Китаї сайтів за допомогою VPN.

Раніше ці DNS-сервери повертали б нульові IP-адреси, які не розміщували жодного вмісту, так що браузер відвідувача просто вичерпався. У недавньому повороті китайський DNS, схоже, відповідає на IP-адреси законних сайтів, які він не схвалює в інших місцях світу, що призвело до того, що деякі з цих сайтів знижуються через кількість трафіку, який вони раптово отримують від мимоволі Китайські відвідувачі.

Передумови: Словосполучення “отруїти DNS” означає навмисне змінити DNS-сервер, щоб повернути неправильні IP-адреси для домену або набору доменів. Шкідливе програмне забезпечення DNS-чейнджера істотно змінює використання локальної мережі отруєних DNS-серверів.

Поточний стан зловмисного програмного забезпечення для зміни DNS

Поточні ітерації зловмисного програмного забезпечення DNS Changer набагато складніші та їх складніше виявити. Хоча введення реклами, щоб заробити гроші, все ще є основною метою зловмисного програмного забезпечення DNS, воно є більш підступним, а також перенаправляє людей на шкідливі сайти з метою вчинення різних видів шахрайства. Одна з головних відмінностей полягає в тому, що він зараз орієнтується на маршрутизатори замість окремих комп’ютерів. Націлювання маршрутизаторів – це набагато ефективніший вектор атаки, оскільки він дозволяє однією інфекцією маршрутизатора отруїти DNS всіх пристроїв, що використовують цей маршрутизатор. У звичайних домашніх або офісних умовах один маршрутизатор надає DNS дуже великій кількості пристроїв, не намагаючись заразити локальний DNS-вирішальник кожного пристрою..

Анатомія сучасної атаки зловмисного програмного забезпечення DNS Changer

Сьогоднішнє зловмисне програмне забезпечення DNS Changer розгортається через javascript під час типової атаки приводу.

Передумови: Атака, що підпадає під загрозу – це ненавмисне завантаження javascript у ваш браузер із зараженого веб-сайту, який ви відвідали. Термін – це посилання, що стосується язика в щоку, до нерозбірливого способу, в якому вогнепальні стрільби вимагають довільних жертв.

Після завантаження javascript виконується виклик WebRTC для визначення вашої IP-адреси. Якщо ваша IP-адреса відповідає заздалегідь визначеному набору правил, на ваш комп’ютер завантажується реклама, що містить приховані відбитки маршрутизатора та облікові дані адміністратора маршрутизатора за замовчуванням. Потім ця інформація витягується для визначення типу маршрутизатора. Потім він намагається увійти у свій маршрутизатор за допомогою стандартних даних для вашої марки маршрутизатора, щоб змінити налаштування DNS. Proofpoint виявив, як працює цей процес, і містить детальний опис того, як тут відбувається кожен крок.

Як виявити, що ви заразилися

Без чітко визначеного вектора атаки, який використовував Rove Digital, набагато складніше визначити, чи заразилися ви. Однак можуть бути деякі підказки, які вказують на проблему.

Помилки SSL або взагалі відсутні SSL

SSL (більш правильно називається TLS в ці дні) означає розкладку захищених сокетів (TLS означає захист транспортного шару і замінив SSL). SSL має дві основні роботи:

  • шифрувати інформацію між веб-переглядачем та веб-сервером та
  • підтвердити ідентифікацію веб-сервера.

Другий пункт виконується при придбанні сертифіката. Постачальник сертифікатів зобов’язаний переконатися, що особа, яка запитує сертифікат на домен, є фактичним власником цього домену. Це, наприклад, заважає будь-якій людині отримати сертифікат SSL Bank of America. Перед тим, як можна видавати сертифікат, потрібні різні рівні перевірки:

  • Перевірка контролю домену: Найменший рівень перевірки, який вимагає лише від постачальника сертифікатів, щоб гарантувати, що запитувач має фізичний контроль над доменом.
  • Перевірка організації: На відміну від перевірки домену, яка стосується лише підтвердження контролю над доменом, організаційна перевірка додатково прагне довести, що організація, яка запитує сертифікат, є дійсною, законною організацією. Для підтвердження цього проводиться деяке розслідування щодо організації.
  • Розширена перевірка: Це найвищий рівень валідації, і організації, які прагнуть отримати сертифікати EV, повинні довести, що їхній бізнес легітимний і належним чином ліцензований у своїй юрисдикції.

Хоча помилки трапляються, теоретично неможливо отримати сертифікат, якщо ви не можете довести, що ви належите домену. Тож, навіть якщо поганий хлопець зміг зіпсувати ваш DNS, ви опинитесь на веб-сайті, у якому взагалі немає SSL, або зламаний SSL, про який ваш браузер попередить вас. Якщо ви помітили сайт, на якому раніше не було SSL, або ви бачите попередження браузера про проблеми з SSL на сайті, можливо, ви не знаходитесь на тому місці, де ви вважаєте, що ви є. (Детальніше: Повне керівництво для початківців щодо шифрування SSL)

Збільшення кількості оголошень або перенаправлення на сторінки, що містять рекламу

Розробники зловмисних програм заробляють гроші на рекламі. Кілька центів за клік оголошень – це дуже багато, коли ви можете змусити мільйони людей натискати на них. Якщо ви помітили збільшення кількості оголошень або перенаправлення на сторінки, що містять рекламу, це майже напевно ознака зловмисного програмного забезпечення та можливо зловмисного програмного забезпечення DNS.

Перевірте налаштування DNS маршрутизатора

Практично кожен маршрутизатор на ринку сьогодні має сторінку налаштувань, де можна визначити сервери DNS. У більшості випадків сервери DNS диктуються постачальником послуг Інтернету (ISP), і настройки DNS у вашому маршрутизаторі будуть порожніми. Але можливо змінити DNS-сервери вашого провайдера, встановивши на маршрутизаторі певні DNS-сервери, до чого саме прагне зловмисне програмне забезпечення DNS Changer. Визначте, чи заражений ваш маршрутизатор, є два кроки:

  1. Перевірте налаштування DNS у своєму маршрутизаторі. Якщо вони не порожні, тоді:
  2. Визначте, чи є шкідливі перелічені DNS-сервери.

Кожен маршрутизатор відрізняється, тому неможливо перерахувати інструкції, як знайти налаштування DNS для кожного маршрутизатора. Вам потрібно буде знайти налаштування DNS-серверів. У деяких випадках це в налаштуваннях WAN (Wide Area Network):

Налаштування маршрутизатора 1 DNS

В інших випадках ви можете знайти їх у налаштуваннях локальної мережі:

2 маршрутизатори

Вам може знадобитися ознайомитися з документацією на маршрутизатор, щоб знайти належне місце для перегляду налаштувань DNS маршрутизатора.

Використовуючи тест, описаний вище, на першому скріншоті, я можу визначити, що:

  1. Налаштування DNS мого маршрутизатора є НЕ порожній, тому я переходжу до кроку 2.
  2. Я розпізнаю 8.8.8.8 та 8.8.4.4 як DNS-сервери Google, тому я знаю, що вони не є шкідливими.

Але якби я не був впевнений, я б за допомогою цих IP-адрес переглянув, до кого вони належать:

пошук сервера DNS в Google

Якщо ви знайдете записи в налаштуваннях DNS вашого маршрутизатора і не можете визначити, звідки вони надходять, слід видалити їх.

Перевірте налаштування DNS свого локального комп’ютера

Хоча сьогоднішня версія зловмисного програмного забезпечення DNS Changer в основному атакує маршрутизатори, перевірити налаштування DNS вашого комп’ютера не завадить..

macOS

Apple -> Налаштування системи -> Мережа -> натисніть на вашу мережу

налаштування DNS macOS

Windows

Панель управління -> Мережа та Інтернет -> Підключення до мережі -> клацніть правою кнопкою миші підключення до мережі та виберіть Властивості

Інтернет-протокол версії 4 (TCP / IPv4)
Інтернет-протокол версії 6 (TCP / IPv6)

Властивості натискання:

Параметри DNS для Windows

Клацніть Додатково, якщо ви хочете додати більше серверів DNS.

Перевірте поточні налаштування з командного рядка:

Командний рядок налаштувань DNS для Windows IPconfig

Як убезпечити себе від зараження чи повторного зараження

Нагадаємо, що сучасне зловмисне програмне забезпечення DNS Changer намагається ідентифікувати ваш маршрутизатор, а потім використовувати для нього типові облікові дані для входу. Тому перший і найкращий захист від цього – просто змінити пароль адміністратора вашого маршрутизатора, як тільки зможете. Одне лише просте дію призведе до перешкоджання цьому виду зловмисного програмного забезпечення.

Також важливо зазначити, що для успіху атака використовує javascript та webRTC. Я писав про небезпеку серфінгу із включеним JavaScript, а також про те, як відключити запити webRTC. Є голосова меншість, яка відчуває, що Інтернет повністю розбивається, якщо ваш серфінг із відключеним JavaScript, але як багаторічний ветеран робити саме це, я можу запевнити, що в Інтернеті це чудово. Навіть якщо цього не було, застосовується стара приказка: зручність чи безпека – виберіть одну. Немає жодної причини взагалі дозволяти запити webRTC для більшості з нас. Якщо вам цікаво, чи дозволяєте ви запити webRTC, скористайтеся цим тестом витоку DNS та встановіть плагін для Chrome або Firefox, щоб вимкнути його.

Якщо ви вже були заражені та знайшли шкідливі сервери DNS у своєму маршрутизаторі або в локальних налаштуваннях DNS, то, ймовірно, у вашій системі є зловмисне програмне забезпечення. Ми підтримуємо список найкращих антивірусних рішень, і вам слід запустити одне з них, щоб сканувати вашу систему на наявність цього типу зловмисних програм.

Важливо робити все в правильному порядку. Якщо ви знайшли шкідливі записи DNS у своєму маршрутизаторі або локальному комп’ютері, видалили їх, а потім встановили антивірусне програмне забезпечення, вам потрібно буде повторно відвідати налаштування DNS після завершення сканування зловмисного програмного забезпечення. Причиною цього є те, що зловмисне програмне забезпечення, яке змінило ваші налаштування DNS, ймовірно, все ще існувало у вашій системі до завершення сканування зловмисного програмного забезпечення. Ті погані записи DNS у маршрутизаторі, які ви видалили, могли бути негайно замінені наявними шкідливими програмами. Тільки після запуску антивірусної перевірки та видалення зловмисного програмного забезпечення ви можете бути впевнені, що ваші налаштування DNS залишаться такими, як ви планували.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me