Buscar
 
 

Resultados por:
 


Rechercher Búsqueda avanzada

Últimos temas
» En casa de Belén, de vacaciones
Dom Abr 03, 2011 2:48 am por Invitado

» CONTINUIDAD
Lun Sep 14, 2009 8:28 pm por alfonso

» Boletín diario de Seguridad de INTECO-CERT
Jue Ago 20, 2009 3:52 pm por son5minutos

» Vulnerabilidad crítica en Flash Player
Dom Jul 26, 2009 2:13 pm por son5minutos

» Adobe conocía su último "0 day" desde 2008
Dom Jul 26, 2009 2:12 pm por son5minutos

» Último Informe del CERT para PYMES y Ciudadanos de Inteco
Dom Jul 26, 2009 2:11 pm por son5minutos

» STILO
Dom Jun 28, 2009 2:45 pm por nenina

» CINE
Dom Jun 28, 2009 2:44 pm por nenina

» VIAJAR
Dom Jun 28, 2009 2:44 pm por nenina

» EMPLEO Y FORMACION
Dom Jun 28, 2009 2:43 pm por nenina

» MOVILES
Dom Jun 28, 2009 2:42 pm por nenina

» VIDEOJUEGOS
Dom Jun 28, 2009 2:41 pm por nenina

» SEGURIDAD
Dom Jun 28, 2009 2:40 pm por nenina

» EMPRENDE
Dom Jun 28, 2009 2:40 pm por nenina

» NOTICIASDOT PRO
Dom Jun 28, 2009 2:39 pm por nenina

» SOFTWARE LIBRE
Dom Jun 28, 2009 2:39 pm por nenina

» GADGETMANIA
Dom Jun 28, 2009 2:37 pm por nenina

» WEB 2.0
Dom Jun 28, 2009 2:37 pm por nenina

» MUNDO DIGITAL
Dom Jun 28, 2009 2:36 pm por nenina

» Averigua quién está conectado a tu ordenador
Dom Jun 21, 2009 12:11 pm por Gaillimh

Flujo RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Bookmarking social

Bookmarking social Digg  Bookmarking social Delicious  Bookmarking social Reddit  Bookmarking social Stumbleupon  Bookmarking social Slashdot  Bookmarking social Yahoo  Bookmarking social Google  Bookmarking social Blinklist  Bookmarking social Blogmarks  Bookmarking social Technorati  

Conserva y comparte la dirección de Foro en tu sitio de bookmarking social


La familia de malware DNSChanger instala "simuladores de DHCP" en la víctima

Ver el tema anterior Ver el tema siguiente Ir abajo

La familia de malware DNSChanger instala "simuladores de DHCP" en la víctima

Mensaje por Gaillimh el Lun Dic 22, 2008 10:41 pm

Hispasec - una-al-día 21/12/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

La familia de malware DNSChanger instala "simuladores de DHCP" en la víctima
----------------------------------------------------------------------------

Hace unos días, tanto el SANS como distintas casas antivirus advertían
de un comportamiento más que curioso en la vieja conocida familia de
malware DNSChanger. Esta ha evolucionado sustancialmente: Comenzó con el
cambio local de la configuración de servidores DNS en el sistema (para
conducir a la víctima a los servidores que el atacante quiera). Ha
llegado hasta el punto de instalar una especie de servidor DHCP e
infectar así a toda una red interna. Los servidores DNS que instala
el malware suelen estar en la red conocida como UkrTeleGroup.

La familia DNSChanger

Una característica interesante de DNSChanger es que es una de las
familias que más han atacado a sistemas Mac, además de a Windows. Entre
otras muchas formas de toparse con ellos, se suelen encontrar en
servidores eMule, camuflados bajo la apariencia de otros programas.

Es una familia conocida desde hace unos tres años. Se caracterizan por
modificar los servidores DNS de la víctima a la que infectan. De esta
forma, la asociación IP-Dominio queda bajo el control del atacante, de
manera que la víctima irá a la IP que el atacante haya configurado en su
servidor DNS particular. Normalmente, se confía en los DNS de los ISP,
pero si se configura cualquier otro, realmente la resolución queda a
merced de su administrador, cualesquiera que sean sus intenciones.

DNSChanger comenzó modificando la configuración del sistema en local, de
forma que cambiaba los servidores DNS del ISP de la víctima por otros
controlados por el atacante. Después, el malware evolucionó hacia la
modificación del router ADSL de la víctima. Buscaba la "puerta de
enlace" del sistema, que suele corresponderse con el router, y realizaba
peticiones o aprovechaba vulnerabilidades de routers conocidos para
modificar estos valores. Así el usuario se veía afectado por el cambio
pero de una forma mucho más compleja de detectar. Además, también se
verían afectadas el resto de las máquinas que tomaran estos valores del
propio router.

Dando un paso más allá

La última evolución observada implica la instalación en la víctima de un
pequeño servidor DHCP. Este es el protocolo usado en las redes locales
para que cuando un sistema se conecta a la red, el servidor lo reconozca
y le proporcione de forma automática los valores necesarios para poder
comunicarse (dirección, ip, puerta de enlace...). Habitualmente también
proporciona los valores de los servidores DNS que haya establecido el
administrador o el router.

El malware instala un driver que le permite manipular tráfico Ethernet a
bajo nivel, o sea, fabricar paquetes de cualquier tipo. Con esta técnica
simula ser un servidor DHCP. Cuando detecta preguntas de protocolo DHCP
legítimas de algún sistema en la red, el malware responde con su propia
configuración de DNS, de forma que el ordenador que acaba de enchufarse
a la red local, quedaría configurado como el atacante quiere, y no como
el administrador ha programado. El atacante confía en la suerte, pues el
servidor DHCP legítimo de la red, si lo hubiese, también respondería.
Quien llegue antes "gana". Consiguen así infecciones "limpias", pues es
complicado saber quién originó el tráfico si éste no es almacenado y
analizado. Además, con este método se pueden permitir realizar muchos
otros ataques en red local con diferentes impactos.

¿Qué valores DNS introduce el malware?

DNSChanger es una familia que necesita de una importante infraestructura
para que sea útil. Los servidores DNS (bajo el control de los atacantes)
de los que se vale, los que modifica en el usuario, suelen estar
alojados en la compañía ucraniana UkrTeleGroup, bajo el rango de
red 85.255.x.y. Casi un 10% de todas las máquinas en ese rango de
direcciones se corresponden con servidores DNS públicos que no contienen
las asociaciones legítimas de domino y dirección IP. En ocasiones
utilizan el servidor DNS para asociar dominios a la IP reservada
127.0.0.1, como es el caso del servidor de descargas de Microsoft
download.microsoft.com. Con esto se consigue que la víctima no pueda
actualizar el sistema operativo con parches de seguridad. Curiosamente,
al parecer, las direcciones de actualización de Apple no están
bloqueadas (a pesar de que suele afectar a este sistema operativo).
También se bloquean un buen número de páginas de actualizaciones de
casas antivirus.

Algunos de estos servidores DNS (ATENCIÓN: no configurarlos en el
sistema bajo ningún concepto) son:

85.255.122.103, 85.255.113.114, 85.255.122.103, 85.255.112.112...

Sólo son necesarias algunas consultas "dig" (comando para averiguar qué
direcciones están relacionadas con qué dominios en un servidor DNS) para
comprobar qué dominios "interesan" o no a los atacantes.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3711/comentar

Más información:

Rogue DHCP servers
http://isc.sans.org/diary.php?storyid=5434

DNSChanger: One Infection, Lots Of Problems
http://www.avertlabs.com/research/blog/index.php/2008/12/16/dnschanger-one-infection-lots-of-problems/


Sergio de los Santos
ssantos@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.