Очередная угроза: ПО для подмены DHCP серверов и смены настроек DNS

image

Теги: Symantec, троян

Symantec опубликовал технические подробности интересного образца хорошо известного вредоносного ПО DNSChanger.

Symantec опубликовал технические подробности интересного образца хорошо известного вредоносного ПО DNSChanger.

DNSChanger активно распространяется некоторое время. Он обратил на себя внимание, когда начал атаковать ADSL модемы. Как следует из названия – это программное обеспечение, которое меняет настройки для DNS серверов.

Это приложение эволюционировало со смены настроек для DNS серверов в операционных системах (Windows и Mac) до смены настроек DNS на ADSL модемах/маршрутизатора.

Вредоносное ПО, описанное Symantec – следующий шаг в развитии DNSChanger: установка поддельного DHCP сервера в сети. Это ПО устанавливает на системе легитимный драйвер NDISProt, что позволяет отправку и прием Ethernet фреймов. После установки драйвера, злонамеренное ПО эмулирует DHCP сервер. Приложение прослушивает сетевой трафик и при получении DHCP Discoverу пакета, отправляет свой DHCP Offer пакет. Предложенная аренда подобным DHCP сервером содержит вредоносные DNS сервера:

http://handlers.sans.org/bzdrnja/DHCP.png

После смены DNS сервера на злонамеренный, злоумышленники могут перенаправить пользователей на поддельные сайты и перехватить логины и пароли, или, при наличии уязвимости в браузере, скомпрометировать целевую систему.

Троянское приложение, идентифицируемое Symantec как Trojan.Flush.M создает следующие файлы %Windir%\inf\ndisprot.inf  и %System%\drivers\ndisprot.sys. Затем создает следующие записи в реестре:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\"NextInstance" = "1"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\"Service" = "Ndisprot"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\"Legacy" = "1"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\"ConfigFlags" = "0"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\"Class" = "LegacyDriver"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\"DeviceDesc" = "ArcNet NDIS Protocol Driver"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\Control\"*NewlyCreated*" = "0"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NDISPROT\0000\Control\"ActiveService" = "Ndisprot"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\Enum\"Count" = "1"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\Enum\"NextInstance" = "1"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\TimestampMode" = "0"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\"Type" = "1"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\"Start" = "3"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisprot\"ErrorControl" = "1"

Троян создает новую службу на системе со следующими характеристиками:

Имя службы: \??\C:\WINDOWS\system32\drivers\Ndisprot.sys
Отображаемое имя: ArcNet NDIS Protocol Driver
Тип запуска: Автоматический

SecurityLab рекомендует мониторить или фильтровать трафик к сетям 85.255.112.0 – 85.255.127.255.

или введите имя

CAPTCHA
Страницы: 1  2  
49348
08-12-2008 17:50:29
опасносте!!11
0 |
09-12-2008 11:36:40
в рот мне ноги, чо теперь делать? SecurityLab рекомендует мониторить или фильтровать трафик к сетям 85.255.112.0 – 85.255.127.255а кто-то ещё не фильтрует трафик?
0 |
Касперовод
08-12-2008 17:59:23
Дядя Женя нас спасет
0 |
раздватри
08-12-2008 18:19:54
Кто-нибудь из знающих, просветите - сей чудный экспонатЪ работает исключительно под привилегированными правами? Если да, то тьфу на такой зловред.
0 |
Yami
08-12-2008 19:16:40
Он работает в ядре ввиде драйвера, а попасть в ядро он может только из под привилегированных прав
0 |
Roman
08-12-2008 21:27:18
Учитывая что DHCP сервер слушает 67й порт - полюбому нужны права админа/root'а, даже если работать в виде обычного приложения. Прослушивающий сокет на порту ниже 1024го во всех мало-мальски адекватных сетевых ОС можно создать только от превелигированного юзера.
0 |
Гость
09-12-2008 00:16:26
SecurityLab рекомендует мониторить или фильтровать трафик к сетям 85.255.112.0 – 85.255.127.255IP address: 85.255.112.36 Country: Ukraine DNS: Not found IANA: inetnum: 85.255.112.0 - 85.255.127.255 netname: UkrTeleGroup descr: UkrTeleGroup Ltd. Типо привет с Украины. А пирится только через AS36445, режется глобально на раз =)
0 |
Гы гы
09-12-2008 13:11:46
Описание вакансии Опыт практической работы от 2х лет. Требования: - Обязательно продвинутое знание Windows и системных функций; - Опыт разработки системных и сетевых приложений под Windows; - Значительный опыт работы с языками программирования С/С++; - Продвинутое знание среды разработки Microsoft Visual Studio; - Уверенное знание архитектуры MS Windows, Win32 API/DDK/IFS, IDA/SoftICE/WinDBG; - Умение работать с технической документацией, проведение "исследований"; - Увереное знание тех. английского языка; - Умение и желание работать в команде; - Быстрая обучаемость; Примерные задачи: • Написание antispyware систем • Написание конфигураторов роутеров • Написание многофункциональных инсталляторов Организационно-правовая форма компании: ООО Название компании: Укртелегрупп Контактный телефон: +38 (484) 7793034 http://odessa.jobmarket.com.ua/dirv/info_technologies/programmer/359344.html
0 |
09-12-2008 00:51:09
прав администратора не нужно если не запрещено работать юзверам с реестром. + можно засунуть эти параметры используя уязвимости
0 |
xaxaxa
09-12-2008 02:36:11
а как ты драйвер то проинсталлишь без прав админа? вово. никак.
0 |
serj
09-12-2008 07:09:09
В Viste пофиксили, достаточно во всплывающем окошке кликнуть "Yes"
0 |
bsdaemon
09-12-2008 10:01:08
Только если в группе Администраторы, простым пользователям - нужно ввести пароль привилигированного пользователя (читай админа).
0 |
Free_Nice
09-12-2008 10:54:41
Вокруг сплошь и рядом "Простые пользователи" )
0 |
Страницы: 1  2