quinta-feira, abril 07, 2005

Ataques de envenenamento de cache DNS (DNS cache poisoning)




Fonte:



O CAIS está acompanhando desde 03/03/05 relatos do SANS ISC referentes a sucessivos ataques de evenenamento de cache DNS (DNS cache poisoning) que estão redirecionando usuários para sites WWW contendo malware.

No primeiro ataque, registrado em 22/02/05, as vítimas foram redirecionadas para três servidores diferentes: 217.160.169.87, 207.44.240.79 e 216.127.88.131. Os domínios correspondentes aos servidores foram identificados como: www.7sir7.com, 123xx1.com e abx4.com.

Todos os endereços acima correspondem a servidores UNIX comprometidos. O atacante colocou em tais servidores dois exploits para o Internet Explorer, de modo que se os usuários fossem redirecionados para estes servidores e o browser estivesse vulnerável, a vítima seria infectada com um programa spyware, que basicamente é um programa que coleta informações privadas em uma estação.

No dia 25/03/2005 foi reportada a existência de dois servidores DNS maliciosos redirecionando usuários (222.47.183.18 e 222.47.122.203). Estes servidores estavam redirecionando os usuários para os próprios servidores, onde havia uma página sobre venda de medicamento. Neste segundo ataque não foi encontrada nenhuma evidência de malware, então acredita-se que trata-se do trabalho fruto de um spammer.

Alguns dias depois o SANS registrou um novo ataque, ocorrido entre 25/03/2005 e 01/04/2005. Tudo indica que este segundo ataque tem relação com o primeiro, visto que possui o mesmo propósito de instalar um programa spyware. Desta vez os servidores DNS forneceram os seguintes endereços: 209.123.63.168, 64.21.61.5, 205.162.201.11.

Através de análises em máquinas comprometidas, foi verificado também que domínios de alto nível (.com, por exemplo) foram redirecionados, o que leva a um alto índice de redirecionamento para diversos sub-domínios (ex: cnn.com, redhat.com, officeupdate.com). Os arquivos de exploit observados nas máquinas comprometidas foram:

* abx.ani
* abx22.ani

Estes programas exploram uma vulnerabilidade divulgada pelo CAIS em Janeiro (consulte a seção "Mais Informações"). O spyware instalado pelo exploit de Internet Explorer foi identificado como:

* Kaspersky: AdWare.ToolBar.SearchIt.h
* Panda: Adware/AbxSearch

Apesar das investigações ainda não terem sido concluídas, o CAIS alerta do perigo que este ataque representa e da necessidade de efetuar alterações nos servidores DNS do Windows NT4 e Windows 2000.

Assinaturas do IDS Snort

A seguir, uma assinatura válida para o IDS Snort, de modo a detectar o ataque em andamento.

alert udp $EXTERNAL_NET 53 -> $HOME_NET any (msg:"com DNS cache poison";content:!"TLD-SERVERS"; nocase; offset:10; depth:50; content:"|c0|";content:"|00 02|"; distance:1; within:2;byte_jump:1,-3,relative,from_beginning; content:"|03|com|00|"; nocase;within:5; classtype:misc-attack; sid:1600; rev:3;)

As regras Bleeding Snort ja foram atualizadas para detectar este tipo de ataque. Elas estão em:

Bleeding Snort rules

O CAIS tem interesse em obter alertas do snort, assim como dumps dos pacotes, no caso de detecção de tráfego correspondente à regra enviada acima. Favor enviar os logs para o endereço cais@cais.rnp.br.

Sistemas afetados:

* Servidores de DNS do Windows NT4 e Windows 2000
* Symantec Gateway Security 5400 Series, v2.x
* Symantec Gateway Security 5300 Series, v1.0
* Symantec Enterprise Firewall, v7.0.x (Windows and Solaris)
* Symantec Enterprise Firewall v8.0 (Windows and Solaris)
* Symantec VelociRaptor, Model 1100/1200/1300 v1.5

Correções disponíveis:

* Windows NT4 e Windows 20000
* Produtos Symantec

Mais informações:

* March 2005 DNS Poisoning Summary
* Vulnerabilidade em arquivos de ícones e ponteiros de mouse

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.




Os Alertas do CAIS também são oferecidos no formato RSS/RDF :
http://www.rnp.br/cais/alertas/rss.xml

Nenhum comentário:

Postar um comentário

Aúncio