Ваш dns мог быть злонамеренно изменен
Мои мыслительные процессы прервал знакомый, сообщив, что та же самая история происходит и при попытке зайти в ВК с телефона. Это была зацепка. Телефон был подключен к домашней wi-fi точке, к той же, что и проблемный компьютер. Попросив знакомого зайти в ВК с мобильного интернета, отключившись от wi-fi, я отмел вариант заражения телефона — открывалась настоящая версия. Вывод был только один — заражен роутер.
Всему виной безответственность
Перейдя на 192.168.1.1, я попросил знакомого логин и пароль от роутера и услышал в ответ… admin:admin! Что?! Как можно было не сменить пароль на роутере раздающем wi-fi?! Поразительная безответственность! Знакомый пожал плечами.
Проверив DNS я обнаружил следующее:
Второй адрес мне хорошо известен, это DNS Google, а вот первый я раньше не встречал. Он был даже не из нашего региона.
Ничего, кроме как перейти по этому адресу, в голову не пришло. Предо мной предстал фейк QIWI, при чем, опять же, отменного качества. (Кстати, он до сих пор там).
Я удалил этот адрес из DNS, заменив его стандартным для нашего региона, сменил пароль на роутере и перезапустил его. После этого, все заработало как положено. Выслушав благодарности знакомого, я решил заняться фейком поплотнее.
Вот это поворот
Сейчас там расположена ненормативная лексика, но когда я его нашел, там была форма с названием «Fake admin panel» и поля для логина и пароля. Чем черт не шутит? Подумал я, и ввел admin:admin. Как вы думаете, что произошло?
Я оказался в админке, с логами всех входов в фейки мошенников! Поразительно, они попались на своем же методе заражения.
Признаю, я сначала подумал, что это ханипот, и попробовал войти в один из кошельков QIWI из лога. Данные были верными, на счету кошелька было около 1000 рублей. Значит, это не ханипот. Я вышел из кошелька, и начал изучать админку.
В тылу врага
(эти игрушечки сверху шевелились, когда на них наводишь крыской, и издавали звук (и это была не флешка))
Неплохие результаты (не считая btc), да?
Отдельно нужно отметить лог QIWI, судя по всему, ради него это все и было сделано. В логе QIWI отображался не только логин, пароль и IP, но и баланс на момент входа, а так же включено ли SMS подтверждение для платежей (что поразительно, в большей части аккаунтов оно было выключено). Такой лог, говорит о том, что после авторизации через фейк, человека авторизировало на реальном QIWI, и бедняга даже не подозревал о подвохе.
В правом верхнем углу отображается количество записей, которые еще не убраны в архив (замечу, что эти записи пополнялись очень быстро).
А внизу (на картинке не видно), были кнопочки для удобного экспорта не архивных логов в txt файл и кнопочка для восстановления всех записей из архива.
Ощущая, что мое время на исходе, я восстановил все записи из архива QIWI и скачал их себе. Хотел проделать тоже самое с остальными сервисами, но не смог. Потому как при следующем запросе я увидел ошибку 403, а потом и то, что там есть сейчас.
Результаты
Полученный файл я очистил от одинаковых записей и проверил нет ли там кошелька моего знакомого. Знакомому повезло, его кошелек в руки мошенников не попал.
Вот этот файл (естественно без паролей), можете проверить, нет ли там вашего кошелька.
Эксперимента ради, просканировал свою подсеть. Нашел 8 роутеров, на 3х из которых стандартный пароль.
DNS
Система доменных имен или система DNS – это интернет-служба, которая преобразует доменные имена в числовые адреса интернет-протокола (IP). Эти числовые IP-адреса используются компьютерами для связи друг с другом.
Когда вы вводите доменное имя в адресную строку браузера, ваш компьютер связывается с DNS-серверами. Затем он узнает IP-адрес для этого сайта. После этого ваш компьютер использует этот IP-адрес для подключения к веб-сайту.
3 Мощные инструменты для настройки и настройки Windows 10
Настройте Windows 10 с помощью этих сторонних инструментов, чтобы получить совершенно новый опыт в вашей ОС Windows. Читайте дальше, чтобы найти то, что они могут сделать.
DNSChanger
В то время как все вредоносные DNS-серверы были заменены правильными операционными системами во время демонтажа, возможно, было подходящее время, чтобы увидеть, действительно ли ваш компьютер был скомпрометирован.
Ботнет изменил настройки DNS для пользователей компьютеров и указал их на вредоносные сайты. Злонамеренные DNS-серверы дадут поддельные, вредоносные ответы, изменяют поиск пользователей и продвигают поддельные и опасные продукты. Поскольку каждый веб-поиск начинается с DNS, вредоносное ПО показало пользователям измененную версию Интернета. По данным ФБР, это мошенничество заставило хакеров более $ 14 млн.
Как работает отравление кэша DNS?
Отравление кэша обманывает ваш DNS-сервер, сохраняя на нём поддельную запись DNS. После этого трафик перенаправляется на сервер, выбранный хакером, и там осуществляется кража данных.
Примеры и последствия отравления кэша DNS
Концепция DNS не приспособлена к специфике современного интернета. Конечно, со временем DNS был усовершенствован, однако сейчас по-прежнему достаточно одного неправильно настроенного DNS-сервера, чтобы миллионы пользователей ощутили на себе последствия. Пример — атака на WikiLeaks, когда злоумышленники с помощью отравления кэша DNS перехватывали трафик, перенаправляя его на собственный клон сайта. Целью этой атаки было увести трафик с WikiLeaks, и она достигла определенного успеха. Отравление кэша DNS весьма непросто обнаружить обычным пользователям. В настоящее время система DNS построена на доверии, и это является ее слабым местом. Люди чересчур сильно доверяют DNS и никогда не проверяют, соответствует ли адрес в их браузере тому, что им в действительности нужно. Злоумышленники же пользуются этой беспечностью и невнимательностью для кражи учетных данных и другой важной информации.
Как выполняется подмена DNS?
Хакер выполняет атаку с подменой DNS, получая доступ и изменяя кэш DNS или перенаправляя запросы DNS на свой собственный DNS-сервер.
Средство удаления DNSChanger
Вы можете использовать средство удаления DNSChanger для устранения этой проблемы. Если вам нужна дополнительная помощь, вы всегда можете зайти на наши форумы безопасности Windows.
Кстати, если ваш компьютер по-прежнему заражен изгоем DNS, вы не сможете путешествовать по Интернету после 9 июля 2012 года. Это связано с тем, что эти замены DNS-серверы будут закрыты в этот день.
Взгляните на F-Secure Router Checker. Он проверяет DNS Hijacking.
Эти ссылки могут также вас заинтересовать:
- Как очистить или сбросить кеш DNS Windows
- Как изменить настройки DNS в Windows.
Откалибровать и отрегулировать настройки и настройки Microsoft Surface Touch & Pen
Узнайте, как настраивать и откалибровать настройки Touch и Pen Surface и ваш сенсорный сенсорный сенсор точно , когда вы используете перо или палец в качестве режима ввода.
Как проверить, подверглись ли вы атаке с отравлением кэша?
После того как кэш DNS был отравлен, это сложно обнаружить. Куда лучшая тактика — осуществлять мониторинг ваших данных и защищать систему от вредоносных программ, чтобы уберечься от утечек данных в следствие отравления кэша DNS. Посетите нашу интерактивную лабораторию кибератак, чтобы увидеть, как мы используем мониторинг DNS для обнаружения реальных угроз кибербезопасности.
Как обнаружить отравление кэша DNS?
Какие меры безопасности можно применять для защиты от отравления кэша DNS?
Эксплойт Каминского
Отравление кэша DNS и подмена кэша DNS (спуфинг) — это одно и то же?
Да, отравлением кэша и подменой кэша называют один и тот же тип кибератаки.
Как работает отравление кэша DNS?
Отравление кэша DNS означает, что на ближайшем к вам DNS-сервере содержится запись, отправляющая вас по неверному адресу, который, как правило, контролируется злоумышленником. Существует ряд методов, которые используют злоумышленники для отравления кэша DNS.
Как работает связь DNS?
Мастер настройки конфиденциальности Google, чтобы упростить настройки
Google выпустил мастер настроек конфиденциальности, который поможет вам выполнить настройки конфиденциальности и изменить их, если вы хотите. Подробнее здесь!
Что подразумевается под подменой DNS (спуфингом)?
Утилита для удаления DNSChanger
Вы можете использовать утилиту для удаления DNSChanger, чтобы решить эту проблему. Если вам нужна дополнительная помощь, вы всегда можете посетить наши форумы по безопасности Windows.
Кстати, если ваш компьютер все еще заражен мошенническим DNS, вы не сможете выходить в Интернет после 9 июля 2012 года. Это связано с тем, что эти заменяющие DNS-серверы будут закрыты в этот день.
Подмена сервера доменных имен (DNS) — это кибератака, с помощью которой злоумышленник направляет трафик жертвы на вредоносный сайт (вместо легитимного IP-адреса). Злоумышленники используют метод «отравления» кэша DNS для перехвата интернет-трафика и кражи учетных данных или конфиденциальной информации. Отравление кэша DNS и подмена DNS — тождественные понятия, часто используемые как синонимы. Хакер хочет обманом заставить пользователей ввести личные данные на небезопасном сайте. Как ему этого добиться? С помощью отравления кэша DNS. Для этого хакер подменяет или заменяет данные DNS для определенного сайта, а затем перенаправляет жертву на сервер злоумышленника вместо легитимного сервера. Таким образом хакер добивается своей цели, ведь перед ним открываются широкие возможности: он может совершить фишинговую атаку, украсть данные или даже внедрить в систему жертвы вредоносную программу.
Отравление кэша: часто задаваемые вопросы
Ознакомьтесь с распространенными вопросами о подмене DNS и ответами на них.
Как злоумышленники отравляют кэш DNS?
Способов отравления кэша много, и вот самые распространенные из них: принудить жертву нажать на вредоносную ссылку, использующую встроенный код для изменения кэша DNS в браузере пользователя; взлом локального DNS-сервера с помощью «атаки через посредника». Вышеупомянутая «атака через посредника» использует подмену протокола разрешения адресов (ARP) для перенаправления DNS-запросов на DNS-сервер, контролируемый злоумышленником.
Как узнать, зараженный DNSChanger
Если вы хотите узнать, были ли скомпрометированы ваши настройки DNS, вы можете сделать это следующим образом:
Открыть CMD и в окне приглашения типа ipconfig / all и нажать Enter .
Теперь найдите записи, начинающиеся с «DNS-серверы …». Здесь показаны IP-адреса ваших DNS-серверов в формате ddd.ddd.ddd.ddd, где ddd - это цифра от 0 до 225. Запишите IP-адрес адресов для DNS-серверов. Проверьте их на номера, указанные в следующей таблице, содержащие известные изгои IP-адреса. Если он присутствует, ваш компьютер использует мошеннический DNS.
Если ваш компьютер настроен на использование одного или нескольких израненных DNS-серверов, он может быть заражен вредоносным ПО DNSChanger. Тогда может быть хорошей идеей создать резервную копию ваших файлов и выполнить полную проверку на вашем компьютере Windows с помощью антивирусного программного обеспечения.
Что такое отравление кэша DNS?
Отравление кэша DNS — это действия по замене записи в базе данных DNS на IP-адрес, ведущий на вредоносный сервер, контролируемый злоумышленником.
Перехват трафика локальной сети с помощью подмены протокола ARP
Вы удивитесь, насколько уязвимой может быть локальная сеть. Многие администраторы могут пребывать в уверенности, что перекрыли все возможные доступы, но, как известно, дьявол кроется в деталях.
Одна из распространенных проблем — сотрудники, работающие удаленно. Можно ли быть уверенными, что их сеть Wi-Fi защищена? Хакеры могут взломать слабый пароль от сети Wi-Fi за считанные часы.
Что такое подмена DNS и отравление кэша?
Как узнать, заражен ли ваш компьютер DNSChanger?
Если вы хотите узнать, не были ли нарушены ваши настройки DNS, вы можете сделать это следующим образом:
Откройте CMD, в окне приглашения введите ipconfig/all и нажмите Enter.
Теперь найдите записи, начинающиеся с «DNS-серверы…». Здесь отображаются IP-адреса ваших DNS-серверов в формате ddd.ddd.ddd.ddd, где ddd – это цифра от 0 до 225. Запишите IP-адреса для DNS. сервера. Сравните их с числами, указанными в следующей таблице, содержащей известные мошеннические IP-адреса. Если он присутствует, то ваш компьютер использует мошеннический DNS.
Если ваш компьютер настроен на использование одного или нескольких мошеннических DNS-серверов, он может быть заражен вредоносным ПО DNSChanger. Тогда может быть хорошей идеей сделать резервную копию ваших файлов и запустить полную проверку на компьютере Windows с антивирусным программным обеспечением.
DNSChanger
Несмотря на то, что все вредоносные DNS-серверы были заменены на правильные операционные системы во время удаления, это может быть хорошее время, как и любой другой, посмотреть, действительно ли ваш компьютер был скомпрометирован.
Ботнет изменил настройки DNS пользователей компьютеров и указал на вредоносные сайты. Вредоносные DNS-серверы будут выдавать ложные, злонамеренные ответы, изменяя пользовательский поиск и продвигая поддельные и опасные продукты. Поскольку каждый веб-поиск начинается с DNS, вредоносная программа показала пользователям измененную версию Интернета. По данным ФБР, эта афера принесла хакерам более 14 миллионов долларов.
Способы защиты от отравления кэша DNS
И, наконец, используйте зашифрованные DNS-запросы. Модули безопасности службы доменных имен (DNSSEC) — это протокол DNS, который использует подписанные DNS-запросы для предотвращения их подмены. При использовании DNSSEC, DNS-резолверу необходимо проверить подпись на уполномоченном DNS-сервере, что замедляет весь процесс. Вследствие этого DNSSEC пока не получил широкого распространения.
Подмена DNS заменяет легитимный IP-адрес сайта на IP-адрес компьютера хакера. Обнаружить подмену очень непросто, ведь с точки зрения конечного пользователя он вводит в браузере абсолютно нормальный адрес сайта. Несмотря на это остановить подобную атаку можно. Риски снизить можно, используя мониторинг DNS, например, от Varonis, а также стандарт шифрования DNS поверх TLS (DoT).
Чем опасна подмена DNS?
Подмена DNS представляет опасность, потому что по своей природе служба имен доменов (DNS) считается надежной, поэтому зачастую ее не защищают каким-либо шифрованием. Это приводит к тому, что хакеры могут подменять записи в кэше DNS для дальнейшей кражи данных, внедрения вредоносных программ, фишинга и блокировки обновлений.
Основная угроза, которую представляет атака подменой DNS, заключается в краже данных через фишинговые страницы. Помимо этого существует риск внедрения вредоносной программы под видом загружаемых файлов, которые выглядят настоящими. Также, если обновление системы производится через интернет, злоумышленник может блокировать обновление, изменяя записи в DNS так, чтобы они не вели на нужный сайт.
Архитектура системы доменных имен (DNS) за редким исключением остается неизменной с 1983 года. Каждый раз, когда вы хотите открыть сайт, браузер отправляет запрос с указанием домена на DNS-сервер, который в ответ отправляет необходимый IP-адрес. И запрос, и ответ на него передаются в открытом виде, без какого-либо шифрования. Это значит, что ваш провайдер, администратор сети или злоумышленник c MITM могут не только хранить историю всех запрошенных вами сайтов, но и подменять ответы на эти запросы. Звучит неприятно, не правда ли?
Предлагаю вспомнить несколько реальных историй перехвата и подмены DNS-запросов.
DNS hijacking
Перехват DNS-запросов (DNS hijacking) это не какая-то редкая страшилка, а вполне распространенная практика. Например, среди провайдеров. Обычно это работает следующим образом. Если пользователь пытается перейти на несуществующий сайт, то провайдер перенаправляет его на свою страницу с рекламой. А может и не на свою.
Вы, конечно же, можете отказаться от использования DNS-сервера провайдера и прописать в настройках роутера сторонние решения (например, Google Public DNS или Яндекс.DNS). Но при отсутствии шифрования это никак не решит проблему. Провайдер вполне может вмешаться и здесь, подменив ответ на свой.
Масштабы трояна DNSChanger впечатляют, но бразильцы его переплюнули. 4,5 млн DSL-модемов было взломано в одной только Бразилии в 2011-2012 годах. Для этого было достаточно разослать спам со ссылкой на вредоносную страницу, которая взламывала модем и прописывала новый адрес DNS-сервера. Причем в этот раз мошенники не стали мелочиться с рекламой. На своих подставных DNS-серверах они подменяли адреса для всех крупнейших банков Бразилии.
С домашними и офисными WiFi-роутерами дело обстоит так же печально, как и с бразильскими модемами. Пользователи нередко оставляют заводские логин и пароль на админку, да и за выходом свежих прошивок с исправленными уязвимостями не следит почти никто (кроме читателей Хабра, конечно же). В прошлом году исследователи из Sentrant в своем докладе рассказали о новых случаях взлома роутеров. Мошенники перехватывали обращения к Google Analytics и благодаря этому встраивали на сайты рекламу.
Думаю, с примерами перехвата можно закончить. Вывод тут простой: DNS перехватывают много, на разных этапах и с разной целью.
Во-вторых, вы больше не привязаны к серверу провайдера или настройкам своего роутера. DNSCrypt обращается за адресами напрямую на указанный вами сервер.
До сих пор для применения DNSCrypt пользователям было необходимо установить на компьютер отдельную утилиту. Это не сложно, но без широкого распространения знаний об угрозе и способах ее решения вряд ли стоит рассчитывать на массовое применение технологии.
Поддержка DNSCrypt в Яндекс.Браузере
При этом все запросы в зашифрованном виде будут отправляться на быстрый DNS-сервер Яндекса, который также получил поддержку протокола DNSCrypt. Ограничивать пользователей только одним сервером мы не хотим, поэтому уже в ближайшее время добавим в этом месте возможность выбрать альтернативный DNS-сервер (например, тот же OpenDNS).
И еще кое-что. Подменить IP-адрес на фишинговый можно не только через перехват запроса, но и через самый обычный системный host-файл. Поэтому мы сейчас экспериментируем с запретом использовать системный резолвер в случае недоступности DNS-сервера. Мы понимаем, что включение этой опции по умолчанию может навредить пользователям корпоративных и локальных ресурсов, поэтому пока только наблюдаем и собираем отзывы.
Система доменных имен или система DNS - это интернет-служба, которая преобразует имена доменов в числовые IP-адреса. Эти числовые IP-адреса используются компьютерами для подключения друг к другу.
Когда вы вводите имя домена в адресной строке браузера, ваш компьютер связывается с DNS-серверами. Затем он узнает IP-адрес этого веб-сайта. Как только это будет сделано, ваш компьютер затем использует этот IP-адрес для подключения к веб-сайту.
Читайте также: