Trojan Zlob/DNSChanger altera configurações de routers

[ Update: 09/07/2012 ]


Há mais de quatro anos começamos a escrever por aqui algumas informações relacionadas ao DNSChanger (este foi o primeiro post deste blog).

Como hoje (09/07/2012) foi o dia em que o FBI deixou de resolver as requisições feitas por máquinas e roteadores que tiveram suasconfigurações de DNS alteradas pelo DNSChanger, vale a pena adicionar alguma informação por aqui:


Um excelente vídeo resumindo toda a história de uma forma extremamente didática foi publicado pela Sophos recentemente:
http://nakedsecurity.sophos.com/2012/07/06/dnschanger-how-not-to-lose-your-internet-connection-on-july-9/ 

- O real impacto foi realmente bastante pequeno (civom certeza nem um pouco pequeno para os que foram afetados efetivamente, mas longe do exagero divulgado pelo mídia "especializada").

  1. http://www.pcmag.com/article2/0,2817,2406855,00.asp?kc=PCRSS05079TX1K0000992
  2. http://www.itnews.com.au/News/308075,dnschanger-shutdown-misses-internet-doomsday.aspx
  3. http://news.cnet.com/8301-1009_3-57468797-83/dnschanger-apocalypse-like-y2k-but-even-snoozier/


Os apocalípticos podem buscar agora um outro final do mundo para esperar, talvez o dos Maias, talvez o bug do ano 2038 (http://en.wikipedia.org/wiki/Year_2038_problem)..

[ Update: 01/12/2011 ]


FBI e o Internet Storm Center (ISC) do Sans Institute monitoraram as consultas DNS aos antigos servidores do DNSChanger - e contabilizaram mais de 2 milhões de resoluções de sistemas infectados com o malware.

Mais infomações:

http://threatpost.com/en_us/blogs/two-million-requests-infected-systems-week-after-ghost-click-takedown-120111



[ Update: 09/11/2011 ]


O FBI anunciou hoje a operação "Ghost Click"- em que foram apontados seis cidadãos estonianos e um russo, acusados de ligação com o malware DNSChanger -Veja o press release do FBI sobre o caso.


Recomendo também a leitura, no blog do Brian Krebs, de um excelente artigo sobre o assunto: "Biggest Cybercriminal Takedown in History"


Falando em DNS - enquanto isto, no Brasil (via @assolini): 

"Hackers atacam roteadores e provedores para redirecionar sites"
http://g1.globo.com/tecnologia/noticia/2011/11/hackers-atacam-roteadores-e-provedores-para-redirecionar-web.html

Isto acontece, ao menos - desde 2002 - mas devido ao redirecionamento de sites muito acessados como Google e Hotmail, a repercursão deste caso específico tem sido bem grande.


Observação: comentamos sobre o DNSChanger em junho de 2008 (no primeiro post deste blog) - veja abaixo:




[ Update - 12/04/2008 ]



primeiro post deste blog - em 13 de junho deste ano - foi sobre um trojan chamado "DNSChanger" que tentava acessar com senhas padrão o gateway (modem/AP/router) da rede interna e automatizava a exploração da rede local da vítima, além de reconfigurar os endereços DNS atribuídos automaticamente e assim possibilitar o controle da navegação e phishing/pharming em uma nova dimensão.

Pois bem, passados 6 meses, estamos no 48.0 post deste blog e uma nova variante do DNSChanger está chamando a atenção da comunidade de segurança, por sua inovação.

De uma forma geral, estes trojans que buscam alterar as configurações de DNS das máquinas locais ou da rede do usuário, têm agido até o momento com um três dos seguintes modus operandi:
  1. Modificar o arquivo Hosts do Windows Modify (%SYSROOT%\windows32\drivers\etc\hosts)
  2. Modificar a entrada de registro incluindo um DNS server malicioso (HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer)
  3. Explorar vulnerabilidades do tipo "cross-site request forgery" em routers (ou via força bruta como nosso post de junho aponta) para sobrescrever a configuração DNS das máquinas na rede local
A novidade está na nova técnica utilizada por este trojan, que permite que todos os equipamentos IP (indepentende de sistema operacional) que estejam configurados para obter endereçamento automaticamente sejam afetados pela alteração de DNS.

É instalado na máquina infectada um driver (ArcNet NDIS) que irá a partir deste momento atuar como um servidor DHCP falso, e vai concorrer com o servidor real na distribuição dos endereçamentos da rede local - e - como você já deve ter imaginado - quando ele atribui o endereço ele também fornece ao equipamento os IPs de servidores DNS falsos para que a navegação das máquinas seja controlada por ele.

Dois pontos interessantes levantados pela Mcafee/Sans:

1 - o número de equipamentos afetados com este tipo de abordagem é maior, já que não há limitação por sistema operacional.

2 - a detecção da causa-raiz da alteração do DNS das máquinas afetadas é muito difícil (você teria que analisar o tráfego de rede para identificar os endereços MAC dos pacotes "DHCP Offer" para identificar onde a máquina infectada está..)

Os DNS falsos utilizados na variante analisada são:
  • 85.255.112.36
  • 85.255.112.41
Como mitigação (deste ataque específico), o SANS Institute recomenda bloquear o range 85.255.112.0 – 85.255.127.255 no seu gateway de borda.

Mcafee informa também que o driver legítimo "ArcNet NDIS Protocol Driver" que é utilizado pode ser encontrado no caminho a seguir: (%SYSROOT%\system32\drivers\ndisprot.sys)

Além dos links de referência já citados, a Symantec publicou uma análise do trojan contendo as modificações efetuadas no sistema afetado.

[ Post Original: 13/06/2008 ]

Trojan Zlob/DNSChanger altera configurações de routers

Em uma demonstração de criatividade do hacker criador do trojan, depois de se instalar na workstation windows, ele tenta acessar comsenhas padrão o gateway (modem/AP/router) da rede interna.

É um novo paradigma interessante e perigoso pois automatiza a exploração da rede local da vítima, além de reconfigurar os endereços DNS atribuídos automaticamente e assim possibilitar o controle da navegação e phishing/pharming em uma nova dimensão.

O assunto é ainda mais interessante pois segundo a TrendMicro, há possibilidade do ZLOB ser financiado pela organização "cyber-criminosa" RBN (Russian Business Network)...

Outras informações:
Fonte: por Sandro Süffert. (: 
Trojan Zlob/DNSChanger altera configurações de routers Trojan Zlob/DNSChanger altera configurações de routers Reviewed by Kembolle Amilkar on domingo, agosto 05, 2012 Rating: 5

Nenhum comentário