Τι συμβαίνει στην περίπτωση που οι υπολογιστές μας θα πέσουν θύματα κάποιοι οργανωμένου δικτύου botnet?
Στην ουσία εξαρτόμαστε από τα όρια της φαντασίας του εκάστοτε διαχειριστή-εγκληματία του Command & Control Server. Οι συνήθεις δραστηριότητες τους περιλαμβάνουν κλοπή τραπεζικών λογαριασμών, cookies, κωδικών mail, ftp, social networks etc. Στις τελευταίες εκδόσεις έχουμε δει επίσης την προσθήκη του πολύ γνωστού VNC για “ζωντανή” σύνδεση με το θύμα!
Ας πάρουμε το ενδεχόμενο όμως πως θέλουμε να πάψουμε την εγκληματική λειτουργία του δικτύου που περιγράφεται στην παραπάνω εικόνα. Τα πράγματα είναι απλά, ξεκινάμε πιάνοντας τους “κακούς” στην αριστερή μεριά και συνεχίζουμε τερματίζοντας τη λειτουργία του Control Server που βρίσκεται στην κορυφή. Αυτό μπορεί να συμβεί είτε τερματίζοντας το C&C είτε, όπως γίνεται πολλές φορές καταργώντας τα DNS Records που οδηγούν σε αυτόν. Έτσι αφήνουμε όλο το δίκτυο ακέφαλο, θα μου πείτε δε γιατρεύουμε τους ασθενείς δηλαδή τα θύματα αλλά ο κόσμος είναι σκληρός και δεν μπορούμε να τους σώσουμε όλους, τουλάχιστον δεν κινδυνεύουν από επιπλέον ζημιά.
Καλά μέχρι εδώ αλλά τι σχέση έχουν όσα περιγράφονται με την 8η Μαρτίου; Συνδέονται γιατί στη 8/3/2012 θα κλείσει μια σειρά από servers που αποτελούν κομμάτι ενός νέου εναλλακτικού είδους Botnet.
Ας περάσουμε στο πρακτικό κομμάτι να δούμε τι ακριβώς κάνει ένα από τα malware variants μόλις εκτελεσθεί σε κάποιο υπολογιστή-θύμα.
Εκτελώντας λοιπόν το εν λόγω malware παρακολουθούμε με τον γνωστό “Process Monitor” και στο “Process Tree” βλέπουμε το process 04e53b… (md5 hash) το οποίο με τη σειρά του εκτελεί τα γνωστά iexplore.exe & ipconfig.exe.
Στη συνέχεια βλέπουμε το iexplore.exe να εκτελεί το Operation RegSetValue στο Registry key “HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{2563F443-38A2-4EDE-B59E-E9D925208AC9}\NameServer”
κι αν πάμε στα ενδότερα αυτής της διαδικασίας τότε θα δούμε πως γράφει στο registry τα παρακάτω.
Στην ουσία πρόκειται για λεπτή χειρουργική επέμβαση στο θύμα αλλάζοντας απλά τους DNS Servers που χρησιμοποιούνται από το σύστημα. Φανταστικό θα μπορούσε να πει κανείς! Όντως, πρόκειται για τρομερά ευρηματικό τρόπο παραπλάνησης των θυμάτων. Στην ουσία για όποιο dns query εκτελεστεί μετά την “μικρή” αυτή αλλαγή οι εγκληματίες έχουν τον πλήρη έλεγχο της απάντησης. Το θέμα είναι πως για τα περισσότερα sites θα μας δώσουν τις σωστές IPs εκτός από αυτά που τους ενδιαφέρουν οπότε εκεί μας κατευθύνουν σε δικούς τους servers σωστά διαμορφωμένους ώστε να μας αποσπάσουν όποια πληροφορία έχουν ως απώτερο σκοπό. Αντιλαμβάνεστε λοιπόν τη δύναμη που αποκτούν μόνο και μόνο με τον έλεγχο των DNS ερωτημάτων του θύματος. Με βάση τα παραπάνω γίνεται κατανοητό πως επιλέχτηκε ως όνομα του malware το DnsChanger!
Για να επανέλθουμε στον αρχικό τίτλο, πως συνδέονται τα παραπάνω με την 8η Μαρτίου; Το FBI που έχει εμπλακεί στην υπόθεση μετά τις συλλήψεις των υπευθύνων το Νοέμβριο του 2011 (6 άτομα στην Εσθονία) θα πάψει τους παράνομους DNS Servers στην παραπάνω ημερομηνία οπότε όσα θύματα είναι ακόμα ρυθμισμένα με αυτούς πιθανότατα θα βρεθούν εκτός internet.
Αν σκεφτείτε πως το malware είναι σχετικά παλιό και πιθανότατα δεν κινδυνεύουμε πρέπει να ξέρετε πως έχουν κυκλοφορήσει εκδόσεις του που κάνουν αρκετά “καλή” δουλειά έναντι των AV κι επίσης τα περισσότερα malware μετά την επιτυχή τους εγκατάσταση απενεργοποιούν την αυτόματη ενημέρωση του εγκατεστημένου AV.
Τέλος το DnsChanger έχει λειτουργίες για static & dynamic IPs και το επίσης κορυφαίο είναι πως είχαν κυκλοφορήσει εκδόσεις όπου είχαν τη δυνατότητα να αλλάζουν το network configuration σε πολλούς ADSL Routers! Πως γινόταν αυτό; με μια λίστα από τα default username/passwords για αρκετούς routers της αγοράς οπότε έκανε τις απαραίτητες αλλαγές στο παρασκήνιο στη ρυθμισμένη ως default gateway IP.
http://www.fbi.gov/newyork/press-releases/2011/manhattan-u.s.-attorney-charges-seven-individuals-for-engineering-sophisticated-internet-fraud-scheme-that-infected-millions-of-computers-worldwide-and-manipulated-internet-advertising-business (Προσέξτε τα στατιστικά στοιχεία)
http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf
http://www.dcwg.org/index.html