Nový trojan DNSChanger mení hromadne DNS nastavenia cez DHCP

DSL.sk, 8.12.2008

Antivírusové spoločnosti upozornili na konci minulého týždňa na novú verziu trojana označovaného DNSChanger, ktorá pridáva novú techniku používanú pri zmene DNS nastavení napadnutých počítačov.

Nová verzia pri infikovaní počítača v lokálnej siete spustí vlastný DHCP server, pomocou ktorého sa snaží pri pripojení nových počítačov respektíve pri obnove DHCP nastavení existujúcich pripojených počítačov nastaviť týmto počítačom falošné DNS servery nachádzajúce sa na IP adresách v rozsahu 85.255.112.0/24.

Útočníci následne falošné DNS servery podobne ako u predchádzajúcich verzií trojana DNSChanger využívajú na presmerovávanie užívateľa na servery útočníkov pre niektoré z domén. Pre ostatné domény falošné DNS servery fungujú normálne a užívateľ tak nič nepozná.

Pomocou novej techniky útočníci môžu postupne získať kontrolu aj nad ďalšími PC v sieti okrem priamo infikovaného PC napríklad podvrhnutím webových stránok so škodlivým kódom účinným proti webovému prehliadaču používanému z daného PC.

Celkovo ide o štvrtú techniku používanú trojanmi z rodiny DNSChanger. Prvé verzie menili mapovanie špecifických domén vo Windows hosts súbore, ďalšie verzie modifikovali lokálne nastavenia DNS na Windows a Mac OS X a poslednou doteraz používanou technikou bola zmena DNS nastavení na zraniteľných domácich routeroch.

Na novú techniku používanú DNSChangerom upozornila napríklad spoločnosť McAfee.




Najnovšie články:



Diskusia:

open dns Od: rad | Pridané: 8.12.2008 9:29 riesenie: http://www.opendns.com/ Odpovedať Známka: 2.0 Hodnotiť:

Re: open dns Od: kjhgciuytfrcirtu | Pridané: 8.12.2008 10:04 a co tym vyriesis?? Odpovedať Hodnotiť:

Re: open dns Od: TTTT | Pridané: 8.12.2008 12:56 ze si napevno nastavis a ziadne podrvhnute neprijmes, ach jaj Odpovedať Známka: 3.3 Hodnotiť:

Re: open dns Od: Don mumsito | Pridané: 8.12.2008 13:30 a ked chces overit funkcnost tak len zadas nejaku neexistujucu adresu a odkaze ta na adresu opendns.com v opacnom opripade nieco nehra. Odpovedať Hodnotiť:

Re: open dns Od: Accuphose+ | Pridané: 8.12.2008 13:33 Chlapci jste mimo, tohle Vám to změní v systémovém nastavení, můžete mít nastavenej DNS server mateřídouška je Vám to k ničemu, pokud si spustíte ten DNSChanger na počítači. Dobrá práce od autorů :-)) Odpovedať Hodnotiť:

Re: open dns Od reg.: Kveri | Pridané: 8.12.2008 14:10 Nevies, neries. Pokial mam 2 kompy v sieti, kompA je infikovany a vytvori si DHCP server a kompB ma natrvo nastavene dnska, tak nie je sanca aby kompB bol ovplivneny, ved ked mam napevno nastavene DNSka tak DHCP off :) Odpovedať Hodnotiť:

Re: open dns Od: qwertu | Pridané: 8.12.2008 14:20 s tou pevnou ip je to celkom sikovny trik..... hlavne, ked mas aspon 150pc..... Odpovedať Hodnotiť:

Re: open dns Od: qwertu | Pridané: 8.12.2008 14:21 a z tych 150 pc aspon 100 notebookov, co si obchodnici nosia hore-dole po svete.... Odpovedať Hodnotiť:

Re: open dns Od reg.: Composite | Pridané: 8.12.2008 14:43 :D :D :D, chlapec ten program ti zmení aj tvoje na pevno nastavené DNS :D málo vieš a prd píšeš Odpovedať Známka: 3.3 Hodnotiť:

Re: open dns Od reg.: Čestmír =) | Pridané: 8.12.2008 17:12 a ako moze ten program zasahovat do systemu na inom PC ???? Ked raz mam natvrdo nastavene adresy a nepouzivam DHCP, tak predsa mi to nema ako zmenit na ine. Drizdas hovadiny ;) Odpovedať Hodnotiť:

Re: open dns Od: Accuphose+ | Pridané: 8.12.2008 22:05 Trojani jsou od toho, aby jednak komunikovali se serverem a hledali připojené počítače, na které se pak naklonují většinou, závisí jednak na zabezpečení daného počítače a na způsob množení versus nastavení systému. Odpovedať Hodnotiť:

Re: open dns Od reg.: Kveri | Pridané: 9.12.2008 9:18 a Ty si kto? pokial mas napevno nastavene DNS tak DHCP sa pouziva len na addr, netmask a gw, nie na dns. Odpovedať Hodnotiť:

Re: open dns Od reg.: Kveri | Pridané: 9.12.2008 9:19 este raz si precitaj co som napisal, ten program nebezi na tom stroji, ktory sa pripaja do siete ale na inom. Ten program emuluje DHCP server, ktory posiela novopripojenym kompom ip, netmask, gw a popripade dnska, ak ale ma novopripojeny komp nastavene napevno dns, tak dhcp server sice tu info posle, ale ten novopripojeny komp to ignoruje. LOGIKA BRAINER Odpovedať Hodnotiť:

Re: open dns Od reg.: Composite | Pridané: 8.12.2008 14:43 mysli dalej ;), k tomu open dns to naprv musí prísť, ale útok bude ešte pred tým ;) čo tak zamedziť zmene dns ;) Odpovedať Hodnotiť:

toto nie je riesenie Od: Roko | Pridané: 8.12.2008 9:53 opendns nie je riesenie. Defaultne ma Windows aj Linux poradie resolvovania nastavene na najprv subor hosts, potom na DNS server. Ak trojan doplni skodlive DNS zaznamy od hosts, opendns ti je nanic. Riesenim je dobry rezidentny antispyware, ktory ta upozorni na pokus modifikovat subor hosts. Odpovedať Hodnotiť:

Re: toto nie je riesenie Od reg.: _Kozec_ | Pridané: 8.12.2008 10:41 Trojan spusteny uzivatelom nema pravo modifikovat subor hosts. Odpovedať Hodnotiť:

Re: toto nie je riesenie Od: qwertu | Pridané: 8.12.2008 11:17 subor hosts je v tomto pripade nepodstany - do siete ti pribudne dalsi DHCP server, ktory da klientom ip adresy z legalneho rozsahu s funkcymi dns servermi. Nezavidim adminom v sieti s 500 pc...... Odpovedať Hodnotiť:

Re: toto nie je riesenie Od: Messo | Pridané: 8.12.2008 11:44 no to trba riesit hnet na switchoch alebo routroch a novy dhcp server sa bude ignorovat. Toto je problem len pre male firmy, kde niesu konfigurovatelne sietove prvky. Odpovedať Hodnotiť:

Re: toto nie je riesenie Od: qwertu | Pridané: 8.12.2008 13:19 Ako chces ignorovat novy dhcp server? Je mozne blokovat to na lepsich prepinacoch? Odpovedať Hodnotiť:

Re: toto nie je riesenie Od: Accuphose+ | Pridané: 8.12.2008 13:35 Slušnej Firewall ti umožní filtrovat jinou adresu DHCP serveru. Odpovedať Hodnotiť:

Re: toto nie je riesenie Od: qwertu | Pridané: 8.12.2008 14:08 tak, ako na firevale filtrujem napr. TCP, rovnako mozem filtrovat aj DHCP protokol? Cez iptables? Odpovedať Hodnotiť:

Re: toto nie je riesenie Od: Messo | Pridané: 8.12.2008 16:00 DHCP nieje komunikacny protokol, ale sluzba. Prebieha cez TCP, ale myslim, ze je mozne ju odfitrovat, kedze prebieha na urcitych portoch A vo velkych sietiach je mozne v sieti nastavit len jeden DHCP server a ine pocitace, ktore chcu byt DHCP, ignorovat. Pri velmi velkych sietiach sa to riesi dynamicky cez ochrany DHCP snooping. Ale to len v spolupraci z inymi bezpecnostnymi prvkami. Lenze nikto v malich sietach, ktory su pripojeny v bytovkach, alebo do 20ludi, nemaju ziadne aktivne ochrany , tam to treba riesit zabezpecenm pocitacovych stanic. Odpovedať Hodnotiť:

Re: toto nie je riesenie Od: qwertu | Pridané: 8.12.2008 18:51 Messo : "....DHCP nieje komunikacny protokol....." ??? Nevyznam sa v tom velmi, ale dnes som zacal hladat info a tu hovoria, ze JE to protokol. Alebo som nieco prehliadol? www.owebu.cz/pc-site/ vypis.php?clanek=1266 cs.wikipedia.org/wiki/ Dynamic_Host_Configuration_Protocol Odpovedať Hodnotiť:

Re: toto nie je riesenie Od: qwertu | Pridané: 8.12.2008 18:59 Messo: Opravujem sa - mas pravdu, nie je to vlastne protokol. Podla wiki je to komunikacia UDP protokolom na portoch 67 a 68 Odpovedať Hodnotiť:

Re: toto nie je riesenie Od reg.: Klix. | Pridané: 8.12.2008 11:45 Pre taketo pripady mam na gatewayi nainstalovany arpwatch. Takze nejaky falosny DHCP server by som odhalil dost rychlo. Pokial by nebol az taky chytry a nedaval by uplne tie iste IP adresy ako pravy DHCP server. A to si myslim ze az tak chytry nebude... Odpovedať Hodnotiť:

Re: toto nie je riesenie Od: Messo | Pridané: 8.12.2008 13:35 presne presne, len stou vynimkou ze presne oznacis jediny dhcp server, ktory mas. A iny DHCP bude ingonorvany, a ked bude davat moc poziadaviek , tak odpojis port Odpovedať Hodnotiť:

Re: toto nie je riesenie Od: Accuphose+ | Pridané: 8.12.2008 13:36 Přesně tak chytrý to není, přece jen "instalujou" si to lamičky :-D Odpovedať Hodnotiť:

Re: toto nie je riesenie Od: Messo | Pridané: 8.12.2008 16:01 lenze doma alebo v malych firmach drtiva vacsina bezi pod pravami administratora Odpovedať Hodnotiť:

Re: toto nie je riesenie Od: LirukS | Pridané: 8.12.2008 11:10 co tak SPYWARE TERMINATOR, ten ma HIPS kontrolu; dost otravne pri instalaciach a aktualizaciach programov, ale ukaze/detekuje kazdy novy pokus o pristup ci uz k systemovym knizniciam alebo aj vytvaranim docasnych TMP suborov...jedna z moznosti ;) Odpovedať Hodnotiť:

Re: toto nie je riesenie Od: b2un0 | Pridané: 8.12.2008 11:22 Pokým bude dotatok počítačovo-bezpečnostne negramotných používateľov, pomôže len vypnutie elektriny. Odpovedať Známka: 10.0 Hodnotiť:

Re: toto nie je riesenie Od: Messo | Pridané: 8.12.2008 14:56 Asi tak, zabezpecenie pocitaca je tak silne, ako clovek, ktory pocitac pouziva. Odpovedať Hodnotiť:

..... Od: rspeed2 | Pridané: 8.12.2008 10:19 si ma predbehol .... Odpovedať Hodnotiť:

Re: ..... Od: MUHAHAHa | Pridané: 8.12.2008 15:52 nic si z toho nerob....... Odpovedať Hodnotiť:

re........ Od: dando1111 | Pridané: 8.12.2008 16:02 este ze mam pevne ipcky/dhcp zistim hned ak sa vytvori/ a ak niekto beha kade tade tak mu nahodim netprofiles Odpovedať Hodnotiť:

Re: re........ Od: qwertu | Pridané: 8.12.2008 19:28 Aku IP nastavis napriklad pre prostredia hotspotov? Nastavis DHCP (inu moznost ani nemas) a si doma. O tom je DNSChanger Odpovedať Hodnotiť:

formalita Od reg.: Torys | Pridané: 9.12.2008 2:07 nie ze "... a užívateľ tak nič nepozná." ale napriklad "... a užívateľ si tak nič nevšimne." Odpovedať Hodnotiť:

Riesenie Od reg.: Kveri | Pridané: 9.12.2008 9:35 Moje riesenie: mam dd-wrt a nastavil som si natvrdo opendns servery a do firewallu (na routri) som pridal riadok, ktory zakazuje userom (kompom) pouzivat akekolvek ine DNS servery - problem vyrieseny :). Dufam, ze zas niekto pride a napise mi preco by to nemalo stacit :) Odpovedať Hodnotiť:

Re: Riesenie Od reg.: Kveri | Pridané: 9.12.2008 9:36 teda 2 riadky; iptables -t nat -A PREROUTING -p udp -i br0 --dport 53 -j DNAT --to 192.168.1.1 iptables -t nat -A PREROUTING -p tcp -i br0 --dport 53 -j DNAT --to 192.168.1.1 Odpovedať Hodnotiť:

ukraina Od: Tinusko | Pridané: 14.12.2008 12:03 nepovedal by som ze uzivatel nic nespozoruje.... stal sa mi tento problem a zbadal som to hned.. ved procesor siel furt na 100 percent a pravidelne odchádzali pakety....pozriem na nastevenie TCP a hopla ukrainsky DNS server.. Odpovedať Hodnotiť:

Pridať komentár