Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Un code malveillant modifie les DNS via un faux serveur DHCP, déjà 1 million de victimes

Par Rédaction, secuobs.com
Le 10/12/2008


Résumé : Un nouveau code malveillant met en place un "faux" serveur DHCP afin de remplacer les réponses légitimes de cette nature par des réponses incluant des serveurs tiers de résolution des noms de domaine en vue de mener des attaques de type Phishing, notamment contre les services bancaires en ligne.



Depuis le trois décembre, une évolution a été constatée au niveau des codes malveillants qui visent à compromettre le système de résolution des noms de domaine DNS ( lien ) sur les systèmes ciblés. D’après les chercheurs de la société Symantec, le code en question utilise une technique qui consiste à installer un serveur DHCP ( Dynamic Host Configuration Protocol - lien ) pernicieux sur un système hôte infecté afin d’être en mesure de compromettre la sécurité d’autres ordinateurs appartenant au même réseau local que celui-ci.

Ce serveur DHCP est lancé en écoute sur les ports 67 et 68 pour le protocole de transport UDP ( lien ). Ce code a été classifié dans la catégorie des chevaux de Troie de par le fait qu’il installerait également une backdoor ( voir notre dossier - lien ) sur le port 1056 pour le protocole de transport TCP ( lien ) ; celle-ci permettant la prise en main à distance de ces systèmes après leur infection.

Pour rappel, le protocole DHCP ( voir les spécifications - lien ) est utilisé pour diffuser les informations relatives à différents paramètres réseau (adresse IP, masque de sous-réseau, passerelle, serveur DNS, etc.) qui sont nécessaires pour la configuration automatique des postes client. Lorsqu’un ordinateur, configuré pour utiliser le DHCP, se connecte à un réseau, il envoie une requête de ce type afin de trouver le ou les serveurs DHCP présents et obtenir les informations requises dans le but de pouvoir profiter des fonctionnalités du réseau IP.

Dès lors qu’une machine a été infectée, le service DHCP installé par les attaquants va surveiller l’ensemble du trafic réseau afin d’intercepter les requêtes à destination des serveurs DHCP légitimes. Lors de l’interception, celui-ci va répondre à leur place en proposant des paquets incluant des informations de serveurs DNS malveillants. En prenant le contrôle des requêtes DNS, les attaquants peuvent ainsi rediriger à leur guise les connexions des utilisateurs sans que ceux-ci s’en aperçoivent.

En montant par exemple un faux serveur web et en associant le nom de domaine d’un service de banque en ligne à l’adresse IP de ce serveur, il leur sera alors possible de mettre en place une attaque de type Phishing ( voir l’annuaire de la revue de presse - lien ). Cette attaque permettra de récupérer des informations sensibles qu’ils pourront par la suite utiliser sur le site web légitime du service bancaire afin de subtiliser de l’argent sur les comptes de la ou des victimes.

Les attaquants remplacent également les entrées DNS des régies publicitaires en ligne afin de placer leurs propres encarts sur les sites web ; il y a de fortes probabilités que certains sites soient redirigés vers des pages web malicieusement forgées afin de forcer l’installation de nouveaux codes malveillants qui viendront renforcer ceux déjà en place. Les utilisateurs qui configurent un nom de domaine au lieu d’une adresse IP pour le serveur SMTP (ou autres, SSH ?) de leur client de messagerie (ou autres, scripts ?) peuvent de la même façon encourir des risques de subtilisation d’informations sensibles.

D’après le SANS ISC ( lien ), cette attaque ne pourrait pas être efficace à cent pourcents puisqu'assez logiquement lors d’une requête DHCP, le ou les serveurs légitimes peuvent être en mesure de répondre plus rapidement que le faux serveur cependant les risques demeurent existants et considérables.

Ce dernier élément pourrait notamment rendre la tâche plus compliquée pour les administrateurs puisqu’il sera difficile de savoir quelles machines ont été exposées ou pas à la réponse du faux serveur et notamment en ce qui concerne les réseaux de grande envergure pouvant comprendre plusieurs serveurs DHCP et des interconnexions complexes de réseaux et de sous-réseaux.

L’estimation actuelle du nombre de victimes de ce code serait d’environ un million pour le seul mois de novembre. Les premières versions sont aujourd’hui détectées par les solutions antivirales, cependant le système de détection par signatures et l’efficacité toute relative de leurs fonctions heuristiques devraient rapidement être débordés par les nombreuses variantes à venir, notamment si leurs auteurs incorporent un moteur de polymorphisme ( lien ) et autres joyeusetés.

Les systèmes d’exploitation Microsoft qui peuvent être exposés aux menaces que représente ce code sont : Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. Les deux serveurs DNS malicieux identifiés jusqu’à présent dans les réponses DHCP sont les serveurs avec les adresses IP suivantes : 85.255.112.36 et 85.255.112.41. Par précaution, il serait judicieux de les interdir via la mise en place de règles de filtrage adéquates.

La procédure de désinstallation avec les fichiers concernés et les modifications à effectuer sur la base des registres est disponible sur le bulletin ( Trojan.Flush.M - lien ) de Symantec ; à noter que ce code émet également des requêtes ARP ( voir notre dossier - lien ) sur le réseau ciblé. Voir également les bulletins de Trend Micro sur TROJ_AGENT.NDT ( lien ) et BKDR_AGENT.CAHZ ( lien )

Source : Blog Trend Micro ( lien )