DNS攻击威胁加剧 变色龙木马出新变种(3)

  第三个版本

  第三个版本是在本月初刚刚发现的,看起来该木马的开发者是相当的严谨,定期发布新版本。现在,它采用了ndisprot.sys(网络驱动程序接口规范协议驱动程序)作为一个已注册的服务,这样的话就可以在受到控制的计算机上创建一台动态主机分配协议服务器。伪装的动态主机分配协议服务器可以向网络上的其他计算机发送动态主机分配协议Discover数据包,最终将查询请求转移到攻击者控制的DNS服务器所在的网络IP地址上。

  这种攻击模式的关键是伪装的动态主机分配协议服务器响应速度比真正获得授权的动态主机分配协议服务器快。如果动态主机分配协议服务器客户端接受的动态主机分配协议查询响应来自伪装的动态主机分配协议服务器,这就意味着攻击已经成功了。伪装的动态主机分配协议服务器采用了租赁时间很长的内部网络IP地址,并且包含了攻击者控制的DNS服务器的主要和次要网络IP地址。

  第三版中也存在很多缺陷。举例来说,如果感染了DNS变色龙木马的计算机登陆到一个开放的无线网络中会出现什么样的情况?任何新登入者都可能从伪装的动态主机分配协议服务器中获得错误的DNS信息。对于攻击来说,这种改变的效果也更好,因为它不必再费力对默认的管理权限进行猜测以获得控制权了。

  需要注意的事项

  系统管理及网络安全协会互联网风暴中心提醒用户,如果不能彻底阻止从85.255.112.0到0.255的这段网络地址的话,对来自这个网络地址段的流量进行监测是明智的选择。这似乎是攻击者控制的DNS服务器所在的网络地址段。对于个人计算机来说,使用者可以很方便的通过ipconfig命令(Windows操作系统)、ifconfig命令(Linux操作系统)或系统预置(苹果操作系统)来确定主要和次要DNS服务器所使用的网络IP地址。

  至于网络上伪装的动态主机分配协议服务器,可以利用动态主机分配协议查询工具搜索和分析同一个网络里和动态主机分配协议服务器相关的所有信息。

  目前看来,大多数防病毒工具都可以发现所有三种版本的DNS变色龙木马,这是一件好事情。因此,请确保已经将防病毒工具升级到最新的版本。并且,即使在确认系统安全的情况下,对于DNS的重定向也需要慎重对待。

  结 论

  所有版本的DNS变色龙木马都是在公开环境中出现的,但第三个版本更需要受到重视的。如果可能的话,我建议工作计算机的网络接口采用静态网络IP地址的DNS服务器。OpenDNS强烈建议这样做,并且在自己的网站上解释了到底该怎么进行相关的设置。此外,OpenDNS还消除了包括卡明斯基发现的DNS错误在内其他一些潜在问题。

  对于大型网络来说,往往不能选择静态网络IP地址的DNS服务器,这时间,对来自85.255.112.0到0.255的网络地址流量进行监测就变得非常重要了。同时,采用某种形式的恶意动态主机分配协议服务器监测也是同样重要的。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wzyyff.html