PC hrozba DNSchanger

HackForum

PC hrozba DNSchanger#
V rámci boja proti kybernetickému zločinu sa Federálnemu úradu pre vyšetrovanie v USA podarilo rozbiť skupinu, ktorá šírila a využívala škodlivý kód DNSChanger na zmenu prednastavených DNS serverov. V dôsledku zmeny DNS serverov sa infikovaný počítač pripájal namiesto používateľom zamýšľanej stránky na webový portál alebo stránku zvolenú útočníkmi.



Ak sa chce používateľ pripojiť napríklad na stránku www.mojabanka.sk, ktorá sa prostredníctvom DNS systému preloží na jej IP adresu, infikované zariadenie prepošle DNS požiadavku na útočníkov DNS server, ktorý odpovie, že uvedená stránka sa nachádza na inej IP adrese. Infikovaný počítač sa prihlási namiesto servera MojejBanky na útočníkov server, kde útočník môže čakať s podvrhnutou stránkou, ktorá vyláka od používateľa prihlasovacie údaje od služby Internet Banking, spustí škodlivý kód na napadnutom počítači a podobne.

Detekcia:
Kontrola nastavení DNS serverov (napríklad na systémoch s OS Windows prostredníctvom rozhrania nastavenia sieťových adaptérov alebo príkazom ipconfig /all) a zistenie či DNS servery nepochádzajú z nasledujúcich rozsahov:
85.255.112.0 - 85.255.127.255
67.210.0.0 - 67.210.15.255
93.188.160.0 - 93.188.167.255
77.67.83.0 - 77.67.83.255
213.109.64.0 - 213.109.79.255
64.28.176.0 - 64.28.191.255
Pre správcov systémov rozsiahlych infraštruktúr odporúčame na perimetri siete detegovať DNS požiadavky na uvedené rozsahy. V prípade zistenia DNS požiadavky na uvedené rozsahy môžu byť zariadenia infikované škodlivým kódom DNSChanger. Otestovať nastavenie DNS serverov je možné vykonať aj na webovej stránke: [link]

Opatrenia:
1. Otestovanie staníc a serverov s takto nastavenými DNS servermi na prítomnosť škodlivého kódu prostredníctvom kontroly spustenej pri štarte operačného systému z bootovateľného média (napr. CD).
2. Kontrola nastavení DNS serverov na sieťových zariadeniach.
3. Zmena DNS serverov na DNS servery poskytované poskytovateľom internetového pripojenia alebo interné DNS servery v závislosti od infraštruktúry.

Upozornenie:
DNS servery útočníkov budú vypnuté bezpečnostnými zložkami v priebehu marca. Aby fungovalo pripojenie na Internet pre napadnuté zariadenia je potrebné zmeniť uvedené DNS servery na iné, nakoľko DNS servery uvedené vyššie nebudú odpovedať na DNS požiadavky. Pre používateľov to môže znamenať nedostupnosť DNS systému a s tým spojený výpadok služieb Internetu.

(odpovědět)
Reverser | 212.26.164.*24.1.2012 15:54
re: PC hrozba DNSchanger#
lol to jsi teda prisel s aktualitou. ted ja. po internetu se siri vir s nazvem anna.kournikova. vas pocitac muze byt napaden. opatreni. neotevirejte zadnou prilohu mailu ktera vam slibuje fotky anny kurnikovove.
delat tady takovy humbuk kvuli pet let stare veci a to jeste tesne pred tim nez goverment vypne vsechny podrvzene dns servery je strasna demence.
(odpovědět)
Shooogun | 193.200.150.*24.1.2012 18:50

Zpět
 
 
 

 
BBCode