DNSChanger – sprawdź swoje ustawienia DNS!

Data publikacji: 01/03/2012, CERT Polska

dnschanger

System DNS jest to usługa dostarczająca informacji na temat nazw domenowych. Jej głównym zastosowaniem jest tłumaczenie nazw domen – czytelnych i łatwych do zapamiętania przez człowieka – na adresy IP – czytelne i łatwe do interpretacji dla komputera. Dostarcza ona również różnych innych informacji, takich jak np: który serwer obsługuje pocztę dla danej domeny. Śmiało można powiedzieć, że DNS jest usługą kluczową jeżeli chodzi o działanie internetu. Bez prawidłowo działającego serwera DNS praktycznie nie byli byśmy w stanie odwiedzić żadnej strony internetowej ani wysłać żadnej wiadomości e-mail. Nasz komputer nie wiedziałby z jakim adresem IP należy się połączyć, aby wysłać zlecone przez użytkownika polecenie. Oczywiście z każdym serwisem nadal można by łączyć się podając bezpośrednio jego adres IP, ale było by to strasznie niewygodne. Istotną jest również aby informacje docierające do nas z systemu DNS były prawdziwe i pochodziły z zaufanego źródła. Nic więc dziwnego, iż pojawiło się złośliwe oprogramowanie, które atakuje ten właśnie element.

Co tak naprawdę może się stać ?

Po wpisaniu w przeglądarce adresu strony internetowej (np: www.cert.pl), nasz komputer wysyła do serwera DNS (podanego w ustawieniach sieciowych) zapytanie o adres IP. W odpowiedzi otrzymuje adres IP serwera, który obsługuje daną domenę. Następnie nasza przeglądarka łączy się z tym serwerem (adresem IP), pobiera od niego treść strony, którą wyświetla na monitorze. Jeżeli nasz komputer otrzyma nieprawidłowy (fałszywy) adres IP – połączy się z fałszywym serwerem (który jest pod kontrolą atakującego) prosząc o treść strony. A co może się stać jeżeli spróbujemy wejść na stronę naszego banku? To tak jak by zamiast do siedziby banku trafić do starej szopy (która na pewno nie należy do banku).

DNSchanger

DNSChanger, bo tak zostało nazwane złośliwe oprogramowanie o którym mowa, podmienia adresy IP serwerów DNS na zainfekowanym komputerze. Powoduje to, iż wykonywane – przed połączenia ze strona internetową – zapytanie DNS przekierowane jest na złośliwe serwery DNS. Daje to przestępcom możliwość fałszowania informacji w odpowiedziach wysyłanych do zainfekowanego komputera.

Opracja „Ghost Click”

Pod koniec 2011 roku, ósmego listopada FBI przy współpracy z innymi organizacjami aresztowała cyberprzestępców związanych z DNSchangerem (więcej na stronie FBI). Co ważne, jeżeli po przejęciu złośliwe serwery DNS zostałyby wyłączone – niestety dla wszystkich zainfekowanych komputerów skończyłoby się to problemami z łączeniem z adresami domenowymi (oczywiście do czasu poprawienia błędnych wpisów w konfiguracji DNS). Ze względu na dużą ilość ofiar postanowiono w miejsce złośliwych serwerów ustawić czyste, poprawnie działające serwery DNS – tym samym dać użytkownikom czas na poprawienie swojej konfiguracji. Opis złośliwego oprogramowania został również udostępniony przez FBI. Z opisu wynika, iż malware zmieniał adresy DNS nie tylko na komputerach – ale także na niektórych „domowych” routerach.

Skala zagrożenia

Według dostępnych danych, ilość zainfekowanych komputerów przed akcją FBI liczona była w milionach. Z dostępnych informacji na temat ilości zapytań do podstawionych „czystych” serwerów DNS szacuje się iż nadal zainfekowanych jest około 500 000 komputerów.

W 2011 roku DNSchanger pod względem ilości zainfekowanych komputerów w Polsce znalazł się na trzecim miejscu. Jego wynik sięga prawie 370 tysięcy – tylu też użytkowników powinno sprawdzić ustawienia serwerów DNS na swoim komputerze. Poniżej wykres z raportu za 2011 rok, który wkrótce zostanie opublikowany (DNSchanger został zaznaczony czerwoną strzałką) :



FBI wyłączy „czysty” serwer …

Utrzymywanie zastępczego serwera DNS planowane było przez 4 miesiące, czyli do 8 marca 2012 roku. W internecie pojawiły się już informację o „wyłączeniu internetu dla 8 marca”. Jak się okazało – prawdopodobnie ze względu na nadal dużą liczbę połączeń z zastępczym serwerem DNS – termin ten ma zostać przesunięty o 120 dni – jak można przeczytać na stronie isc.sans.edu (oryginalny list).

Sprawdź swoje ustawienia serwerów DNS !

Dokładny opis jak sprawdzić ustawienia serwerów DNS można znaleźć na stronie www.dcwg.org. Jeżeli na naszej liście figurują adresy z przedziałów na liście poniżej – komputer jest (lub był) zainfekowany DNSchangerem :

    od     85.255.112.0     do     85.255.127.255
    od     67.210.0.0     do     67.210.15.255
    od     93.188.160.0     do     93.188.167.255
    od     77.67.83.0     do     77.67.83.255
    od     213.109.64.0     do     213.109.79.255

CERT Polska przygotował również specjalną stroną, która sprawdza jaki serwer DNS został użyty podczas próby połączenia. Strona ta dostępna jest pod adresem :

http://cert.pl/tools/dns-check.php

Pojawienie się komunikatu na zielonym tle oznacza, iż zapytanie DNS nie pochodziło z adresów podejrzanych serwerów. Komunikat na czerwonym tle wskazuje, iż do rozwiązania nazwy został użyty serwer DNSChangera – zalecane jest sprawdzenie ustawień systemowych lub kontakt z administratorem.

Poprawne ustawienia DNS powinny być udostępniane przez dostawcę usług internetowych.

 

[Aktualizacja 07.03.2012] Jeszcze 120 dni !

Jak można przeczytać na stronie krebsonsecurity.com zapadła decyzja odsuwająca wyłączenie „czystych”
serwerów do dnia 9 lipca 2012. Nie mniej jednak zachęcamy do sprawdzenia poprawności ustawień swoich serwerów DNS aby w lipcu uniknąć przykrych niespodzianek.