Зловреден софтуер за промяна на DNS: как да го откриете и да се защитите
Системата за имена на домейни (DNS) е част от интернет инфраструктурата, която преобразува лесно запомнящите се имена на домейни, които хората използват, в по-неясни IP адреси, които използват компютри, свързани с интернет. Без DNS би трябвало да помним IP адреса на всеки нов сайт, който искаме да посетим.
В това отношение DNS изглежда най-вече свързан с удобството. В действителност DNS също е критична част от интернет сигурността. Вашият компютър се доверява на DNS, за да му даде правилния IP адрес за всеки даден сайт. За съжаление има много малко предпазни мерки за откриване на неправилни DNS отговори, което оставя пропуск в сигурността, който лошите момчета могат да използват.
Потопете се по-дълбоко в това как работи DNS
DNS е децентрализиран. Вместо да се състои от една масивна база данни с информация за всеки домейн, тази информация е разпръсната из интернет на много различни сървъри. Всеки домейн има поне единавторитетен сървър за имена.
Предистория: An е DNS сървър, който съдържа всички DNS записи за всеки конкретен домейн.
Например, в случая на Comparitech.com, можем да видим, че авторитетните сървъри за имена са DNS сървъри на Amazon.
|_+_|Следователно, ако поискам от един от тези сървъри за имена, за да получа IP адреса за уебсайта comparitech.com, той ще върне IP адреса на уеб сървъра, на който се хоства сайтът.
|_+_|В този пример направих запитване директно към един от сървърите за имена на Comparitech, но DNS системата не работи точно така при ежедневна работа. Пълната DNS система включва не само DNS сървъри, но и DNS клиенти. Извикват се DNS клиентиDNS преобразуватели.
Предистория: A е кръстен по този начин, защото неговата работа е да вземе име на домейн иразрешавамкъм IP адрес, който вашият компютър може да използва, за да инициира комуникация с интернет сървъра.
DNS резолверът се намира на почти всеки компютър и също обикновено на по-високи нива, като вашия доставчик на интернет услуги. Когато програма на вашия компютър иска да знае IP адреса на домейн, тя иска от DNS резолвера да разреши тази връзка домейн към IP. Как резолверът прави това не се знае от искащата програма; просто е щастлив да си върне IP адрес, независимо от това как е получен.
Почти всички DNS резолвери кешират заявки, за да намалят натоварването на различните DNS сървъри. DNS резолверът на вашия компютър се наричаместно разрешаванеи когато потърси IP адрес, първо ще провери кеша си, за да види дали вече знае този отговор. Ако не стане, тогава ще препрати към следващото ниво на DNS резолвер, който обикновено е вашият рутер. Този резолвер прави същата проверка на кеша, за да види дали вече знае отговора и ако не, той препраща заявката към следващия, по-висок резолвер. Това продължава, докато се срещне резолвер, който има отговора и предоставя IP адреса, или докато йерархията се изчерпи и нито един резолвер, нито авторитетните сървъри за имена не знаят IP адреса на домейна. Последното обикновено се случва само когато домейнът не е регистриран и следователно няма авторитетни сървъри за имена или има някаква друга неизправност във веригата на DNS резолвера.
Важната част от този процес е, че след като резолверът предостави отговор, търсенето спира. Никакви други резолвери няма да бъдат запитвани веднага щом един резолвер успее. В това се крие празнината, в която злонамереният софтуер за промяна на DNS може да се задържи. Повече за това по-късно.
Има един последен слой за разрешаване на DNS, който не е част от DNS модела, но въпреки това има голяма мощност. Всеки компютър има файл с имедомакининякъде в системата му. В системите Unix и macOS/OSX обикновено се намира на |_+_| а за Windows системи обикновено се намира в |_+_|. Ако използвате по-екзотична операционна система, местоположението на нейния hosts файл вероятно е вътре този списък .
В почти всички случаи файлът hosts има предимство пред всяка дейност на DNS резолвера. Което означава, че ако поставя следния ред в моя hosts файл, никога няма да мога да заредя успешно уебсайта Comparitech.com. Това е така, защото неправилният отговор в моя hosts файл ще бъде приет от моя уеб браузър и тъй като няма други преобразуватели да бъдат заявени след връщане на отговор, няма да се извършват повече проверки.
|_+_|Файлът hosts датира отпреди DNS и първоначално е бил използван за разрешаване на имена на ARPANET, но все още съществува в системите днес. Използва се основно от технически лица като разработчици и системни администратори, когато има нужда временно да видите домейн на IP адрес, различен от този, съхранен в публичния DNS.
Файлът hosts също може да бъде модифициран, така че да блокира IP адресите на злонамерени уебсайтове. Можеш да научиш как да модифицирате вашия hosts файл, за да блокирате реклами и зловреден софтуер тук .
И накрая, има различни видове DNS записи. Например пощенските сървъри се обозначават с MX записи, IPv6 адресите се съдържат в AAAA записи, а псевдонимите на домейни се наричат CNAME записи. За целите на тази статия ще се съсредоточим само върху записа IPv4 A, който съдържа IPv4 адреса на домейна и се използва основно като IP адрес на уебсайта.
Откъде идват DNS записите?
Собствениците на домейни са отговорни за създаването на необходимите DNS записи, за да функционира техният домейн. Тези записи трябва да бъдат създадени където и да е авторитетният сървър за имена за този домейн. Когато домейн е закупен за първи път отдомейн регистъртези записи обикновено сочат към някакъв тип страница за паркиране в регистратора. След като се създаде уебсайт или друга услуга за домейна, обикновено DNS записите се променят, за да сочат към новия уебсайт и пощенски сървър.
Предистория: Адомейн регистъре мястото, където е закупено име на домейн или е прехвърлено след покупката. Архаичният термин се използва, защото важна функция на продавача на домейн е да регистрира този домейн в DNS системата, така че неговите DNS записи да могат да бъдат разрешени.
Как работи зловредният софтуер за промяна на DNS?
Целта на злонамерения софтуер за промяна на DNS е да накара компютъра ви да посещава услуги, различни от вашите намерения, и да направи това напълно невидимо за вас. Например, хакер, който създава дубликат на уебсайта на Bank of America на друг сървър, е само половината от битката. Следващата стъпка е по някакъв начин да накарате хората да посетят този сайт и неволно да въведат своите идентификационни данни за вход, за да могат да бъдат изпратени на лошите.
Това е форма на фишинг . Един често срещан начин да се опитате да подмамите хората да посетят тези сайтове е чрез имейл кампании със спам със замъглени връзки в тях. Връзките изглеждат така, сякаш водят до законния сайт на Bank of America, но всъщност не са. Този тип фишинг е сравнително лесно победен с някои основни техники за разследване, за които съм писал тук.
По-коварен и труден за откриване метод е да промените вашия локален DNS резолвер, за да предоставя злонамерен IP адрес на заявки за домейна на Bank of America. Това означава, че ще стартирате уеб браузъра си и ще посетите уебсайта на Bank of America. Вашият браузър ще попита локалния DNS резолвер за IP адреса на сайта на BoA и повреденият DNS резолвер ще върне IP адреса на злонамерения сайт вместо IP адреса на легитимния сайт на BoA. Злонамереният сайт ще се зареди в браузъра ви и за разлика от типичните фишинг сайтове, които се намират в други домейни, този сайт всъщност ще се покаже като Bank of America в адресната лента на браузъра ви, което прави погрешното насочване почти невъзможно за откриване.
Спомнете си, че след като DNS резолверът получи отговор, той приема този отговор и не извършва допълнителни заявки. Това означава, че за да предостави неправилен IP адрес за DNS заявка, лош човек просто трябва да прихване първия DNS резолвер, който ще обработи вашите DNS заявки. В почти всички случаи това е локалният DNS резолвер на вашия собствен компютър или вашия рутер. Векторът на атаката е да инсталирате злонамерен софтуер на вашия собствен компютър, който поема контрола върху вашия локален или рутер DNS.
История на зловреден софтуер DNS Changer
Първият кръг от зловреден софтуер за промяна на DNS се появи през 2013 г. и беше напълно победен. Това беше сложна афера, организирана от a компания в Естония, наречена Rove Digital . Той управлява серия от злонамерени DNS сървъри, които инжектират реклами в уеб страници. След това Rove внедри злонамерен софтуер за Windows и Mac OSX навсякъде, който преконфигурира локалните резолвери, за да използват тези злонамерени DNS сървъри. Бяха кликнати върху реклами на стойност над 14 милиона долара, преди да бъдат затворени.
Поради естеството на тази атака злонамерените DNS сървъри бяха открити и каталогизирани. Следователно беше доста лесно да се коригира; това просто се свежда до проверка на DNS настройките на вашия компютър и сравняването им със списък от известни DNS сървъри на Rove. Ако е имало съвпадение, вие сте били заразени. Консорциум на име Работна група за промяна на DNS (DCWG) е създаден, за да помогне на потребителите да диагностицират и лекуват своите инфекции. Повечето от връзките на този сайт вече са мъртви.
Въпреки че технически не е злонамерен софтуер, Китай е известен с това, че отравя собствения си DNS като инструмент за цензура. DNS сървърите, които китайските граждани използват, са конфигурирани да връщат неправилни IP адреси за сайтове, които администрацията на Киберпространството на Китай иска да направи недостъпни в страната.
Вижте също: Как да достъп до сайтове, блокирани в Китай с VPN .
В миналото тези DNS сървъри връщаха нулеви IP адреси, които не хостваха никакво съдържание, така че браузърът на посетителя просто изчакваше. В по-скорошен обрат, DNS на Китай изглежда отговаря с IP адресите на законни сайтове че не одобрява другаде по света, което доведе до спиране на някои от тези сайтове поради големия трафик, който внезапно получават от неволни китайски посетители.
Предистория: Фразата „отравяне на DNS“ означава умишлено модифициране на DNS сървър, за да върне неправилни IP адреси за домейн или набор от домейни. Зловреден софтуер за промяна на DNS по същество променя вашата локална мрежа, използвайки отровени DNS сървъри.
Текущо състояние на зловреден софтуер за промяна на DNS
Текущите повторения на зловредния софтуер DNS Changer са много по-сложни и много по-трудни за откриване. Въпреки че инжектирането на реклами за печелене на пари все още е основна цел на злонамерения софтуер за промяна на DNS, той е по-коварен и също така пренасочва хората към злонамерени сайтове, за да извършват различни видове измами. Една основна разлика е, че сега е насочен към рутери вместо към отделни компютри. Насочването към рутери е много по-ефективен вектор за атака, тъй като позволява на една инфекция на един рутер да отрови DNS на всички устройства, използващи този рутер. В типична домашна или офисна обстановка един-единствен рутер предоставя DNS на много голям брой устройства, без да си прави труда да се опитва да зарази локалния DNS резолвер на всяко отделно устройство.
Анатомия на съвременна атака на злонамерен софтуер DNS Changer
Днешният злонамерен софтуер DNS Changer се внедрява чрез javascript по време на типиченшофиранеатака.
Предистория: Атаката е непреднамерено изтегляне на javascript във вашия браузър от заразен уебсайт, който сте посетили. Терминът е насмешлива препратка към безразборния начин, по който стрелбата от шофиране взема произволни жертви.
След като javascript бъде изтеглен, той изпълнява WebRTC повикване, за да определи вашия IP адрес. Ако вашият IP адрес съвпада с предварително определен набор от правила, тогава на вашия компютър се изтегля реклама, съдържаща скрити пръстови отпечатъци на рутера и идентификационни данни за администратор на рутера по подразбиране. След това тази информация се извлича, за да се определи какъв тип рутер имате. След това се опитва да влезе във вашия рутер с идентификационните данни по подразбиране за вашата марка рутер, за да промени настройките на DNS. Proofpoint откри как работи този процес и има подробно описание на това как се извършва всяка стъпка тук.
Как да разберете дали сте били заразени
Без добре дефинирания вектор на атака, използван от Rove Digital, е много по-трудно да откриете дали сте били заразени. Възможно е обаче да има някои улики, които показват проблем.
SSL грешки или липса на SSL
SSL (по-правилно наричан TLS в наши дни) означаваСлой със защитени сокети(TLS означаваСигурност на транспортния слойи е заменил SSL). SSL има две основни задачи:
- криптиране на информация между вашия браузър и уеб сървъра и
- потвърдете идентификацията на уеб сървъра.
Втората точка се изпълнява при закупуване на сертификата. Доставчикът на сертификати има задължението да гарантира, че лицето, поискало сертификат за домейн, е действителният собственик на този домейн. Това не позволява на всяко лице да получи например SSL сертификат на Bank of America. Необходими са различни нива на валидиране, преди да може да бъде издаден сертификат:
- Валидиране на домейн контрол: Най-ниското ниво на валидиране, което изисква само доставчикът на сертификата да гарантира, че заявеният има физически контрол върху домейна.
- Валидиране на организацията: За разлика от валидирането на домейн, което се занимава само с доказване на контрол върху домейна, организационното валидиране допълнително се стреми да докаже, че организацията, която иска сертификата, е валидна, законна организация. За да се потвърди това, се извършва известно разследване на организацията.
- Разширено валидиране: Това е най-високото ниво на валидиране и организациите, които искат да получат сертификати за EV, трябва да докажат, че техният бизнес е законен и правилно лицензиран в тяхната юрисдикция.
Макар че грешки се случват , теоретично е невъзможно да получите сертификат, ако не можете да докажете, че притежавате домейна. Така че, дори ако някой лош човек успее да повреди вашия DNS, вие ще се окажете на уебсайт, който или изобщо няма SSL, или има повреден SSL, за който вашият браузър ще ви предупреди. Ако забележите, че сайт, който е имал SSL, вече не го прави или ако видите предупреждения на браузъра за проблеми със SSL на даден сайт, може да не сте на сайта, където мислите, че сте. (Прочетете още: Пълното ръководство за начинаещи за SSL криптиране )
Увеличаване на рекламите или пренасочване към страници, съдържащи реклами
Разработчиците на зловреден софтуер правят пари от реклами. Реклами от няколко цента на щракване до много, когато можете да накарате милиони хора да кликнат върху тях. Ако забележите увеличаване на рекламите или ако бъдете пренасочени към страници, съдържащи реклами, това почти сигурно е знак за злонамерен софтуер и вероятно злонамерен софтуер за промяна на DNS.
Проверете DNS настройките на вашия рутер
Почти всеки рутер на пазара днес има страница с настройки, където могат да се дефинират DNS сървъри. В повечето случаи DNS сървърите се диктуват от вашия доставчик на интернет услуги (ISP) и DNS настройките във вашия рутер ще бъдат празни. Но е възможно да замените DNS сървърите на вашия интернет доставчик, като зададете конкретни DNS сървъри във вашия рутер, което е точно това, което зловредният софтуер DNS Changer се стреми да направи. Има две стъпки, за да определите дали вашият рутер е заразен:
- Проверете DNS настройките на вашия рутер. Ако не са празни, тогава:
- Определете дали изброените DNS сървъри са злонамерени.
Всеки рутер е различен, така че не е възможно да се изброят инструкции как да намерите настройките на DNS за всеки рутер. Ще трябва да потърсите настройка за DNS сървъри. В някои случаи е в настройките на WAN (Wide Area Network):
В други случаи можете да го намерите в настройките на локалната мрежа:
Може да се наложи да се консултирате с документацията на вашия рутер, за да намерите правилното място за преглед на DNS настройките на вашия рутер.
Използвайки моя тест в две стъпки по-горе на първата екранна снимка, мога да определя, че:
- DNS настройките на моя рутер саНЕпразен, така че преминавам към стъпка 2.
- Разпознавам 8.8.8.8 и 8.8.4.4 като DNS сървъри на Google, така че знам, че не са злонамерени.
Но ако не бях сигурен, щях да потърся тези IP адреси в Google, за да видя на кого принадлежат:
Ако намерите записи в DNS настройките на вашия рутер и не можете да определите откъде идват, трябва да ги премахнете.
Проверете DNS настройките на вашия локален компютър
Въпреки че днешната версия на зловредния софтуер DNS Changer атакува предимно рутери, не може да навреди да проверите DNS настройките на вашия индивидуален компютър.
macOS
Apple -> Системни предпочитания -> Мрежа -> щракнете върху вашата мрежа
Windows
Контролен панел -> Мрежа и интернет -> Мрежови връзки -> щракнете с десния бутон върху вашата мрежова връзка и изберете Свойства
Интернет протокол версия 4 (TCP/IPv4)
Интернет протокол версия 6 (TCP/IPv6)
Кликнете върху свойствата:
Щракнете върху Разширени, ако искате да добавите още DNS сървъри.
Проверете текущите настройки от командния ред:
Как да се предпазите от инфекция или повторна инфекция
Спомнете си, че съвременният злонамерен софтуер за DNS Changer се опитва да идентифицира вашия рутер и след това да използва идентификационните данни за вход по подразбиране срещу него. Следователно, първата и най-добра защита срещу това е просто да промените администраторската парола на вашия рутер веднага щом можете. Само това просто действие ще осуети този конкретен вид зловреден софтуер.
Също така е важно да се отбележи, че атаката използва javascript и webRTC, за да успее. Писал съм за опасности от сърфиране с активиран javascript а също и как да деактивирайте webRTC заявките . Има вокално малцинство, което смята, че мрежата напълно се поврежда, ако сърфирате с деактивиран javascript, но като многогодишен ветеран в това, мога да ви уверя, че мрежата е наред. Дори и да не беше, важи старата поговорка:. Също така няма причина изобщо да разрешаваме webRTC заявки за повечето от нас. Ако сте любопитни дали разрешавате webRTC заявки, можете да използвате този тест за изтичане на DNS и да инсталирате плъгин за Chrome или Firefox, за да го деактивирате.
Ако вече сте били заразени и сте открили злонамерени DNS сървъри във вашия рутер или в локалните настройки на DNS, вероятно имате злонамерен софтуер в системата си. Поддържаме списък с най-добрите антивирусни решения и трябва да стартирате едно от тях, за да сканирате системата си за този тип зловреден софтуер.
Важно е да правите нещата в правилния ред. Ако сте открили злонамерени DNS записи във вашия рутер или локален компютър, премахнали сте ги и след това сте инсталирали антивирусен софтуер, ще искате да посетите отново вашите DNS настройки, след като сканирането за зловреден софтуер приключи. Причината за това е, че злонамереният софтуер, който е променил вашите DNS настройки, вероятно все още е съществувал във вашата система, докато сканирането за злонамерен софтуер приключи. Тези лоши DNS записи във вашия рутер, които сте премахнали, може да са били незабавно заменени от съществуващия зловреден софтуер. Само след като стартирате антивирусно сканиране и премахнете този злонамерен софтуер, можете да сте по-уверени, че настройките на DNS ще останат както сте планирали.