ataques-dns-con-malware-dnschanger

DNSChanger: routers vulnerables por DNS poisoning (otra vez)

Los expertos en seguridad han observado una campaña de malvertising (publicidad con fines maliciosos) aprovechando el ya conocido DNSChanger, malware que permitiría comprometer diferentes modelos de routers domésticos.

El kit de Exploit DNSChanger parecía olvidado, pero ha vuelto a salir a los focos ahora, en fechas navideñas. Esto es algo que no debería extrañar, porque en estos días de ajetreo y compras el usuario está más receptivo a la publicidad de lo que suele estar normalmente…y esta es la vía de entrada para este malware. Según dice ProofPoint:

Desde Octubre, hemos visto una versión mejorada del llamado DNSChanger EK utilizado en campañas de malvertising en curso. DNSChanger ataca routers desde internet mediante los navegadores de las potenciales víctimas. Sin embargo, no se centra en utilizar las vulnerabilidades en el navegador, sino las que pueden existir en los propios routers.

Esto significaría que este kit de exploit no opera donde suelen hacerlo otros (capa de aplicación) sino en las capas de transporte y red.

DNSChanger pone en peligro muchos routers domésticos

Cuando una víctima pulsa sobre un enlace al malware, este se dirige a golpear el propio router, dejando de lado las aplicaciones. Un movimiento inteligente, porque no tiene que enfrentarse a soluciones antimalware diversas sino a la propia gestión de paquetes del router, que muchas veces no tienen el filtrado bien configurado.

Una vez que el router es comprometido, el tráfico de internet de los equipos conectados se puede redirigir a cualquier posible sitio destinado al Phishing, y la víctima podría quedar a la larga sometida a un constate acoso mediante publicidad dañina, para así poder sacarle más “jugo”.

dnschanger-exploit-kit-attack-chain

Esto significa que dicho ataque comparte similitudes con otro ya visto a comienzos de 2015 de nombre –Soho Pharming– aunque podemos decir que el tiempo transcurrido ha hecho que DNSChanger sea un poco más avanzado y, por tanto, peligroso.

Los patrones de ataque e infección encadenan similitudes que nos permiten concluir que el actor tras estas campañas también estaba tras las operaciones “CSRF (Cross-Site Request Forgery) Soho Pharming” de la primera mitad de 2015.

Esta nueva versión incluye las siguientes mejoras

  • Resolución DNS externa para direcciones internas.
  • Una llave AES para descifrar la lista de huellas digitales (fingerprints), credenciales predefinidas y resoluciones DNS locales.
  • También -y no menos importante- incorpora decenas de exploits para routers domésticos.
  • En aquellos casos que lo permiten, el kit de exploit modifica las reglas de red para conseguir que los puertos de administración sean visibles desde direcciones externas, exponiendo el router a otros ataques, como el perpetrado por las botnet Mirai recientemente.
  • Por último, se ha añadido soporte para dispositivos Android.

Routers vulnerables a envenenamiento DNS

La víctima es comprometida mediante anuncios modificados, pero situados en webs legítimas. Cuando el malware se instala en el navegador del equipo, intentará localizar el ruteador (router). Entonces el kit de exploit recibe las instrucciones para explotar dicho modelo de router específico.

Este kit de exploit hace uso de técnicas de esteganografía, como la de esconder código HTML dentro del campo comentario de un archivo PNG. DNSChanger parece fijarse sobre todo en agencias de anuncios grandes, redirigiendo su tráfico a terceros sitios de anunciantes.

Actualmente, el malware puede explotar un gran número de modelos de router, incluyendo los exploit recientemente añadidos:

  • D-Link DSL-2740R
  • COMTREND ADSL Router  CT-5367 C01_R12
  • NetGear WNDR3400v3 (and likely other models in this series)
  • Pirelli ADSL2/2+ Wireless Router P.DGA4001N
  • Netgear R6200

Conclusiones

Cualquier ataque que comprometa los DNS en una red doméstica podría proveer al atacante de varios vectores de ataque, como por ejemplo ataques de redirección / phishing o Man in the middle.

Actualmente no hay mucho que hacer si nuestro router es vulnerable, aparte de dos cosas principales:

  1. Asegurarnos de que el firmware está actualizado.
  2. Contar con un bloqueo de popups o anuncios fiable

 

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s