neprihlásený Sobota, 22. februára 2020, dnes má meniny Etela   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Nový trojan DNSChanger mení hromadne DNS nastavenia cez DHCP

DSL.sk, 8.12.2008


Antivírusové spoločnosti upozornili na konci minulého týždňa na novú verziu trojana označovaného DNSChanger, ktorá pridáva novú techniku používanú pri zmene DNS nastavení napadnutých počítačov.

Nová verzia pri infikovaní počítača v lokálnej siete spustí vlastný DHCP server, pomocou ktorého sa snaží pri pripojení nových počítačov respektíve pri obnove DHCP nastavení existujúcich pripojených počítačov nastaviť týmto počítačom falošné DNS servery nachádzajúce sa na IP adresách v rozsahu 85.255.112.0/24.

Útočníci následne falošné DNS servery podobne ako u predchádzajúcich verzií trojana DNSChanger využívajú na presmerovávanie užívateľa na servery útočníkov pre niektoré z domén. Pre ostatné domény falošné DNS servery fungujú normálne a užívateľ tak nič nepozná.

Pomocou novej techniky útočníci môžu postupne získať kontrolu aj nad ďalšími PC v sieti okrem priamo infikovaného PC napríklad podvrhnutím webových stránok so škodlivým kódom účinným proti webovému prehliadaču používanému z daného PC.

Celkovo ide o štvrtú techniku používanú trojanmi z rodiny DNSChanger. Prvé verzie menili mapovanie špecifických domén vo Windows hosts súbore, ďalšie verzie modifikovali lokálne nastavenia DNS na Windows a Mac OS X a poslednou doteraz používanou technikou bola zmena DNS nastavení na zraniteľných domácich routeroch.

Na novú techniku používanú DNSChangerom upozornila napríklad spoločnosť McAfee.


      Zdieľaj na Twitteri



Najnovšie články:

Samsung čiastočne vysvetlil incident so zvláštnymi notifikáciami
Bezos prisľúbil 10 miliárd na boj s klimatickou zmenou
Trailer tretej série sci-fi Westworld o získaní vedomia robotmi
Japonci donesú materiál z Phobosu
Nový nástupca JPEG-u má byť postavený na umelej inteligencii
Prieskum zistil koľko času zabíjajú Slováci na smartfónoch
Samsung vystrašil užívateľov zvláštnou notifikáciou
Antik spúšťa zdieľanie externých batérií pre mobily - aktualizácia 1
Sprístupnená prvá verzia Androidu 11
Všetky Star Wars filmy v marci na 4K Blu-ray


Diskusia:
                               
 

riesenie: http://www.opendns.com/
Odpovedať Známka: 2.0 Hodnotiť:
 

a co tym vyriesis??
Odpovedať Hodnotiť:
 

ze si napevno nastavis a ziadne podrvhnute neprijmes, ach jaj
Odpovedať Známka: 3.3 Hodnotiť:
 

a ked chces overit funkcnost tak len zadas nejaku neexistujucu adresu a odkaze ta na adresu opendns.com v opacnom opripade nieco nehra.

Odpovedať Hodnotiť:
 

Chlapci jste mimo, tohle Vám to změní v systémovém nastavení, můžete mít nastavenej DNS server mateřídouška je Vám to k ničemu, pokud si spustíte ten DNSChanger na počítači.
Dobrá práce od autorů :-))
Odpovedať Hodnotiť:
 

Nevies, neries. Pokial mam 2 kompy v sieti, kompA je infikovany a vytvori si DHCP server a kompB ma natrvo nastavene dnska, tak nie je sanca aby kompB bol ovplivneny, ved ked mam napevno nastavene DNSka tak DHCP off :)
Odpovedať Hodnotiť:
 

s tou pevnou ip je to celkom sikovny trik.....

hlavne, ked mas aspon 150pc.....
Odpovedať Hodnotiť:
 

a z tych 150 pc aspon 100 notebookov, co si obchodnici nosia hore-dole po svete....
Odpovedať Hodnotiť:
 

:D :D :D, chlapec ten program ti zmení aj tvoje na pevno nastavené DNS :D
málo vieš a prd píšeš
Odpovedať Známka: 3.3 Hodnotiť:
 

a ako moze ten program zasahovat do systemu na inom PC ????

Ked raz mam natvrdo nastavene adresy a nepouzivam DHCP, tak predsa mi to nema ako zmenit na ine.
Drizdas hovadiny ;)
Odpovedať Hodnotiť:
 

Trojani jsou od toho, aby jednak komunikovali se serverem a hledali připojené počítače, na které se pak naklonují většinou, závisí jednak na zabezpečení daného počítače a na způsob množení versus nastavení systému.
Odpovedať Hodnotiť:
 

a Ty si kto? pokial mas napevno nastavene DNS tak DHCP sa pouziva len na addr, netmask a gw, nie na dns.
Odpovedať Hodnotiť:
 

este raz si precitaj co som napisal, ten program nebezi na tom stroji, ktory sa pripaja do siete ale na inom. Ten program emuluje DHCP server, ktory posiela novopripojenym kompom ip, netmask, gw a popripade dnska, ak ale ma novopripojeny komp nastavene napevno dns, tak dhcp server sice tu info posle, ale ten novopripojeny komp to ignoruje. LOGIKA BRAINER
Odpovedať Hodnotiť:
 

mysli dalej ;), k tomu open dns to naprv musí prísť, ale útok bude ešte pred tým ;)
čo tak zamedziť zmene dns ;)
Odpovedať Hodnotiť:
 

opendns nie je riesenie.
Defaultne ma Windows aj Linux poradie resolvovania nastavene na najprv subor hosts, potom na DNS server.
Ak trojan doplni skodlive DNS zaznamy od hosts, opendns ti je nanic. Riesenim je dobry rezidentny antispyware, ktory ta upozorni na pokus modifikovat subor hosts.
Odpovedať Hodnotiť:
 

Trojan spusteny uzivatelom nema pravo modifikovat subor hosts.
Odpovedať Hodnotiť:
 

subor hosts je v tomto pripade nepodstany - do siete ti pribudne dalsi DHCP server, ktory da klientom ip adresy z legalneho rozsahu s funkcymi dns servermi.
Nezavidim adminom v sieti s 500 pc......
Odpovedať Hodnotiť:
 

no to trba riesit hnet na switchoch alebo routroch a novy dhcp server sa bude ignorovat. Toto je problem len pre male firmy, kde niesu konfigurovatelne sietove prvky.
Odpovedať Hodnotiť:
 

Ako chces ignorovat novy dhcp server? Je mozne blokovat to na lepsich prepinacoch?
Odpovedať Hodnotiť:
 

Slušnej Firewall ti umožní filtrovat jinou adresu DHCP serveru.
Odpovedať Hodnotiť:
 

tak, ako na firevale filtrujem napr. TCP, rovnako mozem filtrovat aj DHCP protokol? Cez iptables?
Odpovedať Hodnotiť:
 

DHCP nieje komunikacny protokol, ale sluzba. Prebieha cez TCP, ale myslim, ze je mozne ju odfitrovat, kedze prebieha na urcitych portoch

A vo velkych sietiach je mozne v sieti nastavit len jeden DHCP server a ine pocitace, ktore chcu byt DHCP, ignorovat. Pri velmi velkych sietiach sa to riesi dynamicky cez ochrany DHCP snooping. Ale to len v spolupraci z inymi bezpecnostnymi prvkami.
Lenze nikto v malich sietach, ktory su pripojeny v bytovkach, alebo do 20ludi, nemaju ziadne aktivne ochrany , tam to treba riesit zabezpecenm pocitacovych stanic.
Odpovedať Hodnotiť:
 

Messo :
"....DHCP nieje komunikacny protokol....." ???

Nevyznam sa v tom velmi, ale dnes som zacal hladat info a tu hovoria, ze JE to protokol. Alebo som nieco prehliadol?

www.owebu.cz/pc-site/ vypis.php?clanek=1266

cs.wikipedia.org/wiki/ Dynamic_Host_Configuration_Protocol


Odpovedať Hodnotiť:
 

Messo:
Opravujem sa - mas pravdu, nie je to vlastne protokol. Podla wiki je to komunikacia UDP protokolom na portoch 67 a 68
Odpovedať Hodnotiť:
 

Pre taketo pripady mam na gatewayi nainstalovany arpwatch. Takze nejaky falosny DHCP server by som odhalil dost rychlo. Pokial by nebol az taky chytry a nedaval by uplne tie iste IP adresy ako pravy DHCP server. A to si myslim ze az tak chytry nebude...
Odpovedať Hodnotiť:
 

presne presne, len stou vynimkou ze presne oznacis jediny dhcp server, ktory mas. A iny DHCP bude ingonorvany, a ked bude davat moc poziadaviek , tak odpojis port
Odpovedať Hodnotiť:
 

Přesně tak chytrý to není, přece jen "instalujou" si to lamičky :-D
Odpovedať Hodnotiť:
 

lenze doma alebo v malych firmach drtiva vacsina bezi pod pravami administratora
Odpovedať Hodnotiť:
 

co tak SPYWARE TERMINATOR, ten ma HIPS kontrolu; dost otravne pri instalaciach a aktualizaciach programov, ale ukaze/detekuje kazdy novy pokus o pristup ci uz k systemovym knizniciam alebo aj vytvaranim docasnych TMP suborov...jedna z moznosti ;)
Odpovedať Hodnotiť:
 

Pokým bude dotatok počítačovo-bezpečnostne negramotných používateľov, pomôže len vypnutie elektriny.
Odpovedať Známka: 10.0 Hodnotiť:
 

Asi tak, zabezpecenie pocitaca je tak silne, ako clovek, ktory pocitac pouziva.
Odpovedať Hodnotiť:
 

si ma predbehol ....

Odpovedať Hodnotiť:
 

nic si z toho nerob.......
Odpovedať Hodnotiť:
 

este ze mam pevne ipcky/dhcp zistim hned ak sa vytvori/
a ak niekto beha kade tade tak mu nahodim netprofiles
Odpovedať Hodnotiť:
 

Aku IP nastavis napriklad pre prostredia hotspotov? Nastavis DHCP (inu moznost ani nemas) a si doma. O tom je DNSChanger
Odpovedať Hodnotiť:
 

nie ze "... a užívateľ tak nič nepozná."
ale napriklad "... a užívateľ si tak nič nevšimne."

Odpovedať Hodnotiť:
 

Moje riesenie: mam dd-wrt a nastavil som si natvrdo opendns servery a do firewallu (na routri) som pridal riadok, ktory zakazuje userom (kompom) pouzivat akekolvek ine DNS servery - problem vyrieseny :). Dufam, ze zas niekto pride a napise mi preco by to nemalo stacit :)
Odpovedať Hodnotiť:
 

teda 2 riadky;

iptables -t nat -A PREROUTING -p udp -i br0 --dport 53 -j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -p tcp -i br0 --dport 53 -j DNAT --to 192.168.1.1

Odpovedať Hodnotiť:
 

nepovedal by som ze uzivatel nic nespozoruje.... stal sa mi tento problem a zbadal som to hned.. ved procesor siel furt na 100 percent a pravidelne odchádzali pakety....pozriem na nastevenie TCP a hopla ukrainsky DNS server..
Odpovedať Hodnotiť:

Pridať komentár