Monday, July 9, 2012

Trojan Zlob/DNSChanger altera configurações de routers

[ Update: 09/07/2012 ]


Há mais de quatro anos começamos a escrever por aqui algumas informações relacionadas ao DNSChanger (este foi o primeiro post deste blog).

Como hoje (09/07/2012) foi o dia em que o FBI deixou de resolver as requisições feitas por máquinas e roteadores que tiveram suas configurações de DNS alteradas pelo DNSChanger, vale a pena adicionar alguma informação por aqui:


- Um excelente vídeo resumindo toda a história de uma forma extremamente didática foi publicado pela Sophos recentemente:
http://nakedsecurity.sophos.com/2012/07/06/dnschanger-how-not-to-lose-your-internet-connection-on-july-9/

- O real impacto foi realmente bastante pequeno (civom certeza nem um pouco pequeno para os que foram afetados efetivamente, mas longe do exagero divulgado pelo mídia "especializada").
  1. http://www.pcmag.com/article2/0,2817,2406855,00.asp?kc=PCRSS05079TX1K0000992
  2. http://www.itnews.com.au/News/308075,dnschanger-shutdown-misses-internet-doomsday.aspx
  3. http://news.cnet.com/8301-1009_3-57468797-83/dnschanger-apocalypse-like-y2k-but-even-snoozier/


Os apocalípticos podem buscar agora um outro final do mundo para esperar, talvez o dos Maias, talvez o bug do ano 2038 (http://en.wikipedia.org/wiki/Year_2038_problem)..

[ Update: 01/12/2011 ]


O FBI e o Internet Storm Center (ISC) do Sans Institute monitoraram as consultas DNS aos antigos servidores do DNSChanger - e contabilizaram mais de 2 milhões de resoluções de sistemas infectados com o malware.

Mais infomações:

http://threatpost.com/en_us/blogs/two-million-requests-infected-systems-week-after-ghost-click-takedown-120111



[ Update: 09/11/2011 ]


O FBI anunciou hoje a operação "Ghost Click"- em que foram apontados seis cidadãos estonianos e um russo, acusados de ligação com o malware DNSChanger -Veja o press release do FBI sobre o caso.


Recomendo também a leitura, no blog do Brian Krebs, de um excelente artigo sobre o assunto: "Biggest Cybercriminal Takedown in History"


Falando em DNS - enquanto isto, no Brasil (via @assolini): 

"Hackers atacam roteadores e provedores para redirecionar sites"
http://g1.globo.com/tecnologia/noticia/2011/11/hackers-atacam-roteadores-e-provedores-para-redirecionar-web.html

Isto acontece, ao menos - desde 2002 - mas devido ao redirecionamento de sites muito acessados como Google e Hotmail, a repercursão deste caso específico tem sido bem grande.


Observação: comentamos sobre o DNSChanger em junho de 2008 (no primeiro post deste blog) - veja abaixo:




[ Update - 12/04/2008 ]



primeiro post deste blog - em 13 de junho deste ano - foi sobre um trojan chamado "DNSChanger" que tentava acessar com senhas padrão o gateway (modem/AP/router) da rede interna e automatizava a exploração da rede local da vítima, além de reconfigurar os endereços DNS atribuídos automaticamente e assim possibilitar o controle da navegação e phishing/pharming em uma nova dimensão.

Pois bem, passados 6 meses, estamos no 48.0 post deste blog e uma nova variante do DNSChanger está chamando a atenção da comunidade de segurança, por sua inovação.

De uma forma geral, estes trojans que buscam alterar as configurações de DNS das máquinas locais ou da rede do usuário, têm agido até o momento com um três dos seguintes modus operandi:

  1. Modificar o arquivo Hosts do Windows Modify (%SYSROOT%\windows32\drivers\etc\hosts)
  2. Modificar a entrada de registro incluindo um DNS server malicioso (HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer)
  3. Explorar vulnerabilidades do tipo "cross-site request forgery" em routers (ou via força bruta como nosso post de junho aponta) para sobrescrever a configuração DNS das máquinas na rede local
A novidade está na nova técnica utilizada por este trojan, que permite que todos os equipamentos IP (indepentende de sistema operacional) que estejam configurados para obter endereçamento automaticamente sejam afetados pela alteração de DNS.

É instalado na máquina infectada um driver (ArcNet NDIS) que irá a partir deste momento atuar como um servidor DHCP falso, e vai concorrer com o servidor real na distribuição dos endereçamentos da rede local - e - como você já deve ter imaginado - quando ele atribui o endereço ele também fornece ao equipamento os IPs de servidores DNS falsos para que a navegação das máquinas seja controlada por ele.

Dois pontos interessantes levantados pela Mcafee/Sans:

1 - o número de equipamentos afetados com este tipo de abordagem é maior, já que não há limitação por sistema operacional.

2 - a detecção da causa-raiz da alteração do DNS das máquinas afetadas é muito difícil (você teria que analisar o tráfego de rede para identificar os endereços MAC dos pacotes "DHCP Offer" para identificar onde a máquina infectada está..)

Os DNS falsos utilizados na variante analisada são:
  • 85.255.112.36
  • 85.255.112.41
Como mitigação (deste ataque específico), o SANS Institute recomenda bloquear o range 85.255.112.0 – 85.255.127.255 no seu gateway de borda.

Mcafee informa também que o driver legítimo "ArcNet NDIS Protocol Driver" que é utilizado pode ser encontrado no caminho a seguir: (%SYSROOT%\system32\drivers\ndisprot.sys)

Além dos links de referência já citados, a Symantec publicou uma análise do trojan contendo as modificações efetuadas no sistema afetado.



[ Post Original: 13/06/2008 ]


Trojan Zlob/DNSChanger altera configurações de routers

Em uma demonstração de criatividade do hacker criador do trojan, depois de se instalar na workstation windows, ele tenta acessar com senhas padrão o gateway (modem/AP/router) da rede interna.

É um novo paradigma interessante e perigoso pois automatiza a exploração da rede local da vítima, além de reconfigurar os endereços DNS atribuídos automaticamente e assim possibilitar o controle da navegação e phishing/pharming em uma nova dimensão.

O assunto é ainda mais interessante pois segundo a TrendMicro, há possibilidade do ZLOB ser financiado pela organização "cyber-criminosa" RBN (Russian Business Network)...

Outras informações:

No comments:

Post a Comment

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) windows (13) ddos (12) vazamento de informações (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) privacidade (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) shell (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)