www.blackhat.kz

All about IT Security, and not only..

ZLOB — фейковые DNS сервера.

leave a comment »

Как сообщает TrendLabs Malware blog — сеть из фейковых DNS серверов принадлежащих ZLOB, на данный момент используются для подмены результатов поисковых систем. Трояны ZLOB меняют у жертвы адреса DNS серверов в настройках на свои, в результате чего могут подставлять фейковые IP адрес при запросе на резолв адресов поисковых систем. После этого пользователь работает уже не с настоящим сайтом, а с фейковым поисковиком, который может вставлять свои ссылки в результаты запросов поисковых систем. В принципе эта схема будет работать ещё долго,так как поисковики на данный момент ничего не могут поделать с этим. Троян живет на компе жертвы, а значит они бессильны.

Если раньше трояны вживались в ОС, «инжектились» в процессы браузеров, перехватывали\подменивали трафик браузеров,устанавливали компоненты для браузеров (BHO), то хакеры сейчас пошли дальше. И это радует :) Как работала схема ? После того как троян попадал на комп жертвы, он отслеживал запуск популярных браузеров, затем «внедрял» себя в адресное пространство процесса браузера и следил за действиями пользователя. Если жертва выполняла какой-нибудь запрос в поисковые системы, троян тут же перехватывал результат ( перехват функций сокетов recv\WSARecv\HttpRequest в ws2_32.dll\wsocks32.dll ) и вставлял фейковые ссылки своих клиентов.

Чем лучше подмена DNS ? Тем что не надо делать лишних тело-движений, нужно всего лишь подменить адреса DNS серверов и следить за тем что бы их не поменяли обратно. Не надо парится с обходом антивирусов и проактивных защит, не надо обходить файрволы для получения задания из центрального сервера ботнета. И все ! А дальше уже работает фейковы сервер куда уйдет запрос жертвы..

Решение проблемы для корпоративной сети?…

Решение проблемы для корпоративной сети? Думаю должен быть мониторинг сетевого трафика на наличие «левых» DNS запросов к IP адресам не принадлежащим компании, файрволлы и конечно же локальные прокси сервера которые сами отвечают за преобразования имен в IP адреса.

Скорее всего троян меняет поле NameServer у всех интерфейсов в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces. Может быть и используют какие-нибудь WinAPI\NativeAPI вызовы для изменения настроек сетевых интерфейсов, но мы ещё не нашли как это сделать. Работаем над этим, и думаю скоро выложим Proof Of Concept по этой технологии с полным описанием и примерами.

Будьте осторожны.

About these ads

Written by blackhatkz

Август 8, 2008 at 8:16 дп

Опубликовано в новости, malware

Tagged with , , , ,

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

Отслеживать

Get every new post delivered to your Inbox.

%d bloggers like this: