DNS-wisselaar-malware: hoe deze te detecteren en uzelf te beschermen

DNS-wisselaar-malware: hoe deze te detecteren en uzelf te beschermenHet Domain Name System (DNS) is het deel van de internetinfrastructuur dat gemakkelijk te onthouden domeinnamen die mensen gebruiken, omzet in meer obscure IP-adressen die computers met internetverbinding gebruiken. Zonder DNS zouden we het IP-adres moeten onthouden van elke nieuwe site die we willen bezoeken.


In dat opzicht lijkt DNS vooral gerelateerd aan gemak. In werkelijkheid is DNS ook een cruciaal onderdeel van internetbeveiliging. Uw computer vertrouwt DNS om het het juiste IP-adres voor een bepaalde site te geven. Helaas zijn er maar heel weinig voorzorgsmaatregelen om onjuiste DNS-antwoorden te detecteren, waardoor een beveiligingskloof overblijft voor slechteriken om te exploiteren.

Lees meer over hoe DNS werkt

DNS is gedecentraliseerd. In plaats van te bestaan ​​uit één enorme database met informatie over elk domein, is die informatie verspreid over het internet op veel verschillende servers. Elk domein heeft ten minste één gezaghebbende naamserver.

Achtergrond: een gezaghebbende naamserver is een DNS-server die alle DNS-records voor een bepaald domein bevat.

In het geval van Comparitech.com kunnen we bijvoorbeeld zien dat de gezaghebbende nameservers Amazon DNS-servers zijn.

$ dig + short comparitech.com ns
ns-769.awsdns-32.net.
ns-1652.awsdns-14.co.uk.
ns-1459.awsdns-54.org.
ns-237.awsdns-29.com.

Als ik daarom een ​​van die nameservers zou vragen om het IP-adres voor de website comparitech.com te krijgen, retourneert deze het IP-adres van de webserver waarop de site wordt gehost.

$ dig + short comparitech.com @ ns-769.awsdns-32.net.
108.59.8.18

In dat voorbeeld heb ik direct een van Comparitech's nameservers opgevraagd, maar dat is niet helemaal hoe het DNS-systeem in de dagelijkse werking werkt. Het complete DNS-systeem omvat niet alleen DNS-servers, maar ook DNS-clients. DNS-clients worden DNS-resolvers genoemd.

Achtergrond: Een DNS-resolver wordt zo genoemd omdat het zijn taak is om een ​​domeinnaam te nemen en deze om te zetten in een IP-adres dat uw computer kan gebruiken om communicatie met de internetserver te initiëren.

Een DNS-resolver bevindt zich op bijna elke computer en meestal ook op hogere niveaus, zoals uw internetprovider. Wanneer een programma op uw computer het IP-adres van een domein wil weten, vraagt ​​het de DNS-resolver om die domein-naar-IP-relatie op te lossen. Hoe de resolver dat doet, is niet bekend bij het aanvragende programma; het is gewoon blij om een ​​IP-adres terug te krijgen, ongeacht hoe het werd verkregen.

Bijna alle DNS-resolvers slaan cache-zoekopdrachten op om de belasting van de verschillende DNS-servers te verminderen. De DNS-resolver op uw computer wordt de lokale resolver genoemd en wanneer deze een IP-adres opvraagt, controleert hij eerst de cache om te zien of hij dat antwoord al weet. Als dit niet het geval is, verwijst het vervolgens naar de DNS-resolver van het volgende niveau, meestal uw router. Die resolver voert dezelfde cachecontrole uit om te zien of hij het antwoord al weet en zo niet, dan verwijst hij het verzoek naar de volgende, hogere resolver. Dit gaat door totdat een resolver wordt aangetroffen die het antwoord heeft en het IP-adres levert, of totdat de hiërarchie is uitgeput en geen resolvers noch de gezaghebbende nameservers het IP-adres van het domein kennen. Dit laatste gebeurt normaal gesproken alleen als het domein niet is geregistreerd en daarom geen gezaghebbende nameservers heeft, of er is een andere storing in de DNS-resolverketen.

Het belangrijke deel van dit proces is dat zodra een resolver een antwoord geeft, de zoekopdracht stopt. Er worden geen andere resolvers gevraagd zodra een resolver slaagt. Daarin ligt de kloof waarin malware voor DNS-wisselaars zich kan handhaven. Daarover later meer.

Er is nog een laatste laag aan DNS-resolutie die geen deel uitmaakt van het DNS-model maar desondanks grote kracht heeft. Elke computer heeft ergens op zijn systeem een ​​bestand met de naam hosts. In Unix en macOS / OSX-systemen is het meestal te vinden op / etc / hosts / en voor Windows-systemen is het meestal te vinden in C: \ System32 \ drivers \ etc \ hosts. Als u een meer exotisch besturingssysteem gebruikt, staat de locatie van het hosts-bestand waarschijnlijk in deze lijst.

In bijna alle gevallen overtreft het hosts-bestand alle DNS-resolveractiviteiten. Dit betekent dat als ik de volgende regel in mijn hosts-bestand zet, ik de Comparitech.com-website nooit met succes kan laden. Dit komt omdat het onjuiste antwoord in mijn hosts-bestand wordt geaccepteerd door mijn webbrowser en omdat er geen andere resolvers worden gevraagd nadat een antwoord is geretourneerd, er geen controles meer worden uitgevoerd.

123.45.67.89 comparitech.com www.comparitech.com

Het hosts-bestand dateert van vóór DNS en werd oorspronkelijk gebruikt voor ARPANET-naamomzetting, maar het bestaat nog steeds in systemen. Het wordt voornamelijk gebruikt door technische mensen zoals ontwikkelaars en systeembeheerders wanneer het nodig is om een ​​domein tijdelijk te bekijken op een ander IP-adres dan het domein dat is opgeslagen in de openbare DNS.

Het hosts-bestand kan ook worden aangepast om de IP-adressen van kwaadaardige websites te blokkeren. U kunt hier leren hoe u uw hosts-bestand kunt wijzigen om advertenties en malware te blokkeren.

Ten slotte zijn er verschillende soorten DNS-records. E-mailservers worden bijvoorbeeld aangeduid door MX-records, IPv6-adressen zijn opgenomen in AAAA-records en domeinaliassen worden CNAME-records genoemd. Voor de doeleinden van dit artikel zullen we ons alleen richten op het IPv4 A-record, dat het IPv4-adres van het domein bevat en voornamelijk wordt gebruikt als het IP-adres van de website.

Waar komen DNS-records vandaan??

Domeineigenaren zijn verantwoordelijk voor het maken van de nodige DNS-records om hun domein te laten functioneren. Deze records moeten worden gemaakt op de plaats waar de gezaghebbende naamserver zich voor dat domein bevindt. Wanneer een domein voor het eerst wordt gekocht bij de domeinregistreerder, verwijzen die records normaal gesproken naar een soort parkeerpagina bij de registrar. Nadat een website of andere service voor het domein is gemaakt, worden de DNS-records normaal gesproken gewijzigd om naar de nieuwe website en e-mailserver te verwijzen.

Achtergrond: een domeinregistreerder is de plaats waar een domeinnaam wordt gekocht of is overgedragen naar na aankoop. De archaïsche term registrar wordt gebruikt omdat een belangrijke functie van een domeinverkoper is om dat domein in het DNS-systeem te registreren, zodat de DNS-records kunnen worden opgelost.

Hoe werkt DNS-wisselaar-malware?

Het doel van DNS-wisselaar-malware is ervoor te zorgen dat uw computer andere services bezoekt dan u van plan bent en dit volledig onzichtbaar voor u maakt. Een hacker die bijvoorbeeld een kopie van de Bank of America-website op een andere server maakt, is slechts het halve werk. De volgende stap is om mensen op een of andere manier die site te laten bezoeken en onbewust hun inloggegevens in te voeren zodat ze naar de slechteriken kunnen worden gestuurd.

Dit is een vorm van phishing. Een veel voorkomende manier om mensen te misleiden om deze sites te bezoeken, is via spam-e-mailcampagnes met verborgen links erin. De links zien eruit alsof ze naar de legitieme Bank of America-site gaan, maar in feite niet. Dit type phishing wordt vrij eenvoudig verslagen met een aantal basistechnieken voor onderzoek waarover ik hier heb geschreven.

Een meer verraderlijke en moeilijk te detecteren methode is om uw lokale DNS-resolver te wijzigen om het schadelijke IP-adres te verstrekken aan vragen voor het Bank of America-domein. Dit betekent dat u uw webbrowser start en de website van de Bank of America bezoekt. Uw browser vraagt ​​de lokale DNS-resolver om het IP-adres van de BoA-site en de beschadigde DNS-resolver retourneert het IP-adres van de schadelijke site in plaats van het IP-adres van de legitieme BoA-site. De schadelijke site wordt in uw browser geladen en, in tegenstelling tot typische phishing-sites die zich op andere domeinen bevinden, wordt deze site eigenlijk als de Bank of America weergegeven in de adresbalk van uw browser, waardoor de fout vrijwel onmogelijk te detecteren is.

Bedenk dat zodra een DNS-resolver een antwoord ontvangt, hij dat antwoord accepteert en geen verdere vragen uitvoert. Dit betekent dat om een ​​onjuist IP-adres voor een DNS-zoekopdracht op te geven, een slechterik gewoon de eerste DNS-resolver moet onderscheppen die uw DNS-aanvragen afhandelt. In bijna alle gevallen is dat de lokale DNS-resolver op uw eigen computer of uw router. De aanvalsvector is om malware op uw eigen computer te installeren die de controle over uw lokale of router-DNS overneemt.

Geschiedenis van DNS-wisselaar-malware

De eerste ronde van malware voor DNS-wisselaars verscheen in 2013 en is degelijk verslagen. Het was een ingewikkelde affaire opgezet door een bedrijf in Estland genaamd Rove Digital. Het exploiteerde een reeks kwaadaardige DNS-servers die advertenties in webpagina's injecteerden. Rove heeft vervolgens wijd en zijd Windows- en Mac OSX-malware geïmplementeerd die lokale resolvers opnieuw heeft geconfigureerd om die schadelijke DNS-servers te gebruiken. Er werd op meer dan $ 14 miljoen aan advertenties geklikt voordat ze werden afgesloten.

Vanwege de aard van die aanval werden de kwaadaardige DNS-servers ontdekt en gecatalogiseerd. Het was daarom vrij eenvoudig te herstellen; het kwam eenvoudig neer op het controleren van de DNS-instellingen op uw computer en deze te vergelijken met een lijst met bekende Rove DNS-servers. Als er een match was, was je besmet. Een consortium genaamd de DNS Change Working Group (DCWG) is opgericht om gebruikers te helpen bij het diagnosticeren en verhelpen van hun infecties. De meeste links op die site zijn nu dood.

Hoewel het technisch geen malware is, staat China erom bekend zijn eigen DNS te vergiftigen als censuurprogramma. De DNS-servers die Chinese burgers gebruiken, zijn geconfigureerd om onjuiste IP-adressen te retourneren voor sites die de Cyberspace Administration of China-afdeling in het land niet beschikbaar wil maken. 

Zie ook: Toegang krijgen tot sites die in China zijn geblokkeerd met een VPN.

In het verleden retourneerden deze DNS-servers nul IP's die geen inhoud hosten, zodat de browser van de bezoeker gewoon een time-out zou krijgen. In een recentere wending lijkt de DNS van China te reageren met de IP-adressen van legitieme sites die het elders niet goedkeurt, wat ertoe heeft geleid dat sommige van die sites zijn gedaald vanwege de hoeveelheid verkeer die ze plotseling van onbewust ontvangen Chinese bezoekers.

Achtergrond: De uitdrukking "gif-DNS" betekent opzettelijk een DNS-server wijzigen om onjuiste IP-adressen voor een domein of een set domeinen te retourneren. DNS-wisselaar-malware wijzigt in wezen uw lokale netwerkgebruik vergiftigde DNS-servers.

Huidige status van malware voor DNS-wisselaars

Huidige iteraties van de DNS Changer-malware zijn veel geavanceerder en veel moeilijker te detecteren. Hoewel het injecteren van advertenties om geld te verdienen nog steeds een hoofddoel is van de DNS-wisselaar-malware, is het verraderlijker en leidt het ook mensen door naar kwaadaardige sites om verschillende soorten fraude te plegen. Een groot verschil is dat het nu routers target in plaats van individuele computers. Targeting van routers is een veel efficiëntere aanvalsvector omdat hierdoor een enkele routerinfectie de DNS van alle apparaten die die router gebruiken, kan vergiftigen. In een typische thuis- of kantooromgeving levert een enkele router DNS aan een zeer groot aantal apparaten zonder de lokale DNS-resolver van elk afzonderlijk apparaat te proberen te infecteren.

Anatomie van een moderne malware-aanval met DNS-wisselaar

De DNS-wisselaar-malware van vandaag wordt via javascript ingezet tijdens een typische drive-by aanval.

Achtergrond: een drive-by aanval is de onbedoelde download van javascript naar uw browser vanaf een geïnfecteerde website die u hebt bezocht. De term is een tong in de wang verwijzing naar de willekeurige manier waarop drive-by shootings willekeurige slachtoffers eisen.

Nadat het javascript is gedownload, voert het een WebRTC-oproep uit om uw IP-adres te bepalen. Als uw IP-adres overeenkomt met een vooraf bepaalde set regels, wordt een advertentie met verborgen routervingerafdrukken en standaard inloggegevens van de routerbeheerder gedownload naar uw computer. Die informatie wordt vervolgens geëxtraheerd om te bepalen welk type router u hebt. Vervolgens probeert het in te loggen op uw router met de standaardreferenties voor uw merk router om uw DNS-instellingen te wijzigen. Proofpoint ontdekte hoe dit proces werkt en heeft een gedetailleerde beschrijving van hoe elke stap hier plaatsvindt.

Hoe te detecteren of u bent geïnfecteerd

Zonder de goed gedefinieerde aanvalsvector die Rove Digital heeft gebruikt, is het veel moeilijker te detecteren of u bent geïnfecteerd. Er kunnen echter enkele aanwijzingen zijn die op een probleem wijzen.

SSL-fouten of helemaal geen SSL

SSL (tegenwoordig correcter TLS genoemd) staat voor Secure Sockets Layer (TLS staat voor Transport Layer Security en heeft SSL vervangen). SSL heeft twee hoofdtaken:

  • informatie versleutelen tussen uw browser en de webserver, en
  • bevestig de identiteit van de webserver.

Het tweede punt wordt uitgevoerd wanneer het certificaat wordt gekocht. De certificaatverkoper is verplicht ervoor te zorgen dat de persoon die een certificaat voor een domein aanvraagt, de werkelijke eigenaar van dat domein is. Dit voorkomt dat bijvoorbeeld iemand een Bank of America SSL-certificaat behaalt. Er zijn verschillende validatieniveaus vereist voordat een certificaat kan worden uitgegeven:

  • Domeincontrole validatie: Het minste validatieniveau dat alleen vereist dat de certificaatverkoper ervoor zorgt dat de aanvrager fysieke controle over het domein heeft.
  • Organisatie validatie: In tegenstelling tot domeinvalidatie die alleen betrekking heeft op het aantonen van controle over het domein, probeert organisatievalidatie verder te bewijzen dat de organisatie die het certificaat aanvraagt ​​een geldige, legale organisatie is. Om dit te bevestigen, wordt enig onderzoek naar de organisatie uitgevoerd.
  • Uitgebreide validatie: Dit is het hoogste validatieniveau en organisaties die EV-certificaten willen verkrijgen, moeten aantonen dat hun bedrijf legitiem is en de juiste licentie heeft in hun rechtsgebied.

Hoewel fouten voorkomen, is het theoretisch onmogelijk om een ​​certificaat te verkrijgen als u niet kunt bewijzen dat u de eigenaar bent van het domein. Dus zelfs als een slechterik uw DNS zou kunnen beschadigen, zou u op een website terechtkomen die helemaal geen SSL heeft of verbroken SSL waarvoor uw browser u zou waarschuwen. Als u merkt dat een site die voorheen SSL had, dat niet meer doet, of als u browserwaarschuwingen ziet over SSL-problemen op een site, bevindt u zich mogelijk niet op de site waar u denkt te zijn. (Lees verder: De complete beginnershandleiding voor SSL-codering)

Toename van advertenties of omleiding naar pagina's die advertenties bevatten

Malware-ontwikkelaars verdienen geld met advertenties. Een paar cent per klik advertenties tot veel wanneer u miljoenen mensen erop kunt laten klikken. Als u een toename van advertenties opmerkt, of als u wordt omgeleid naar pagina's met advertenties, is dat vrijwel zeker een teken van malware en mogelijk DNS-changer-malware.

Controleer de DNS-instellingen van uw router

Bijna elke router die tegenwoordig op de markt is, heeft een instellingenpagina waarop DNS-servers kunnen worden gedefinieerd. In de meeste gevallen worden DNS-servers gedicteerd door uw internetprovider (ISP) en zijn de DNS-instellingen in uw router leeg. Maar het is mogelijk om de DNS-servers van uw ISP te negeren door specifieke DNS-servers in uw router in te stellen, en dat is precies wat de DNS Changer-malware wil doen. Er zijn twee stappen om te bepalen of uw router is geïnfecteerd:

  1. Controleer de DNS-instellingen in uw router. Als ze niet leeg zijn, dan:
  2. Bepaal of de vermelde DNS-servers schadelijk zijn.

Elke router is anders, dus het is niet mogelijk om instructies te geven voor het vinden van de DNS-instellingen voor elke router. U moet op zoek gaan naar een DNS-servers-instelling. In sommige gevallen bevindt het zich in de WAN-instellingen (Wide Area Network):

router 1 DNS-instellingen

In andere gevallen kunt u het vinden in de instellingen van het lokale netwerk:

router 2 DNS-instellingen

Mogelijk moet u de documentatie van uw router raadplegen om de juiste plaats te vinden om de DNS-instellingen van uw router te bekijken.

Met behulp van mijn tweestaps-test hierboven op de eerste screenshot kan ik vaststellen dat:

  1. De DNS-instellingen van mijn router zijn NIET leeg dus ik ga door naar stap 2.
  2. Ik herken 8.8.8.8 en 8.8.4.4 als de DNS-servers van Google, dus ik weet dat deze niet schadelijk zijn.

Maar als ik niet zeker was, zou ik die IP's Google laten zien om te horen tot wie ze behoren:

google DNS-server zoeken

Als u vermeldingen vindt in de DNS-instellingen van uw router en u niet kunt bepalen waar ze vandaan komen, moet u deze verwijderen.

Controleer de DNS-instellingen van uw lokale computer

Hoewel de huidige versie van de DNS Changer-malware voornamelijk routers aanvalt, kan het geen kwaad om de DNS-instellingen van uw individuele computer te verifiëren.

MacOS

appel -> Systeem voorkeuren -> Netwerk -> klik op uw netwerk

macOS DNS-instellingen

ramen

Controlepaneel -> Netwerk en internet -> Netwerk connecties -> klik met de rechtermuisknop op uw netwerkverbinding en selecteer Eigenschappen

Internet Protocol versie 4 (TCP / IPv4)
Internet Protocol versie 6 (TCP / IPv6)

Klik eigenschappen:

Windows IP DNS-instellingen

Klik op Geavanceerd als u meer DNS-servers wilt toevoegen.

Controleer de huidige instellingen vanaf de opdrachtregel:

Windows IPconfig DNS-instellingen opdrachtregel

Hoe u zichzelf kunt beschermen tegen infectie of herinfectie

Bedenk dat moderne DNS-wisselaar-malware uw router probeert te identificeren en vervolgens de standaardaanmeldingsgegevens gebruikt. Daarom is de eerste en beste bescherming hiertegen om het beheerderswachtwoord van uw router zo snel mogelijk te wijzigen. Alleen al die simpele actie zal deze specifieke soort malware in de weg staan.

Het is ook belangrijk op te merken dat de aanval JavaScript en WebRTC gebruikt om te slagen. Ik heb geschreven over de gevaren van surfen met JavaScript ingeschakeld en ook over het uitschakelen van webRTC-zoekopdrachten. Er is een vocale minderheid die het gevoel heeft dat het web volledig breekt als je surfen met JavaScript is uitgeschakeld, maar als een meerjarige veteraan die dat kan doen, kan ik je verzekeren dat het web prima is. Zelfs als dat niet het geval was, is het oude gezegde van toepassing: gemak of veiligheid - kies er een. Er is voor de meesten van ons ook geen reden om webRTC-vragen toe te staan. Als u benieuwd bent of u webRTC-vragen toestaat, kunt u deze DNS-lektest gebruiken en een plug-in voor Chrome of Firefox installeren om deze uit te schakelen.

Als u al bent geïnfecteerd en schadelijke DNS-servers in uw router of in uw lokale DNS-instellingen heeft gevonden, heeft u waarschijnlijk malware op uw systeem. We houden een lijst bij met de beste antivirusoplossingen en u moet een van deze uitvoeren om uw systeem op dit soort malware te scannen.

Het is belangrijk om dingen in de juiste volgorde te doen. Als u schadelijke DNS-vermeldingen in uw router of lokale computer hebt gevonden, deze hebt verwijderd en vervolgens antivirussoftware hebt geïnstalleerd, wilt u uw DNS-instellingen opnieuw bezoeken nadat de malwarescan is voltooid. De reden hiervoor is dat de malware die uw DNS-instellingen heeft gewijzigd waarschijnlijk nog steeds op uw systeem bestond totdat de malwarescan was voltooid. De slechte DNS-vermeldingen in uw router die u hebt verwijderd, konden onmiddellijk worden vervangen door de bestaande malware. Pas nadat u een antivirusscan hebt uitgevoerd en die malware hebt verwijderd, kunt u er zekerder van zijn dat uw DNS-instellingen zullen blijven zoals u bedoelde.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

30 − 21 =