بدافزار جدیدی با استفاده از روشی هوشمندانه، تغییرات DNS را پنهان می‌کند!

مؤسسه ESET روز پنج شنبه گزارش داد که چند نوع بدافزار و هم‌چنین تبلیغات‌افزار با روشی هوشمندانه سعی در پنهان نمودن تغییراتی دارند که در تنظیمات DNS دستگاه‌های آلوده ایجاد می‎کنند.
یکی از این تهدیدها DNS Unlocker، بدافزار تبلیغاتی است که ESET آن را به عنوان برنامه ناخواسته بالقوه‌ای (PUA) معرفی کرده است. DNS Unlocker تنظیمات رایانه آلوده را به گونه‌ای تغییر می‌دهد که بتواند از کارگزار‌های DNS مخرب برای تزریق کد جاوا اسکریپت مخرب به سامانه استفاده کند. این فرآیند به عاملان مخرب اجازه می‌دهد که تبلیغات قانونی گوگل را با تبلیغات خودشان جایگزین کنند و از آن بهره ببرند.

بدافزار DNS Unlocker پیش از این نیز مشاهده شده و چندین مقاله برای چگونگی حذف آن بر روی اینترنت نیز موجود است. برای مثال، پستی که توسط شرکت مایکروسافت در آگوست سال ۲۰۱۵ منتشر شد به کاربرانی که با این بدافزار آلوده شده‌اند توصیه می‌کند که به طور دستی مشخصات IPv۴ را در کنترل پنل ویندوز به گونه‌ای تنظیم کنند که آدرس کارگزار DNS به طور خودکار به دست آید.
اگرچه طولی نکشید که این توصیه برای نسخه‌های جدیدتر DNS Unlocker دیگر کارآمد نبود. طبق گزارش ESET، اگر نسخه‌ی جدیدتری نصب شود، کاربران با دسترسی به خصوصیات IPv۴ در کنترل پنل می‌بینند که DNS آن‌ها به طور خودکار به دست می‌آید.

محققان متوجه شدند که این بدافزار تبلیغاتی با ایجاد تغییراتی در رجیستری، که در آن هر مبدل شبکه‌ای ورودی‌ای به نام NameServer دارد، تغییرات را از چشم کاربر پنهان می‌کند. مقدار این ورودی حاوی آدرس IP کارگزار DNS است وقتی کاربران یک DNS ایستا نصب می‌کنند.
وقتی دو آدرس DNS ایستا توسط کاربر و از طریق کنترل پنل یا دستور netsh نصب می‌شود، به عنوان فهرستی درون رجیستری ذخیره می‌گردند که در آن هر ورودی با یک ویرگول از هم جدا می‌شوند (مثال: ۱۹۲.۱۶۸.۱.۲۱ , ۱۹۲.۱۶۸.۱.۲۲). آدرس‌های DNS ایستا را می‌توان به طور دستی به رجیستری افزود، اما اگر ویرگول با یک فاصله جایگزین شود، تغییرات در کنترل پنل نشان داده نمی‌شوند (مثال: ۱۹۲.۱۶۸.۱.۲۱ ۱۹۲.۱۶۸.۱.۲۲). اگر دستور ipconfig /all برای بررسی تنظیمات شبکه به کار گرفته شود، آدرس DNS ایستا نشان داده می‌شود، اما به کاربران هشدار داده می‌شود که آدرس به طور خودکار به دست آمده است.

افزودن آدرس DNS به طور دستی به رجیستری با یک فاصله بین آن‌ها به مهاجمان اجازه می‌دهد که از تنظیمات DNS استفاده کنند بدون اینکه حتی رد آشکاری از خود به جای بگذارند. ESET اشاره کرد که این موضوع می‌تواند مشکلی اساسی برای کاربران و شرکت‌های قانونی باشد که پشتیبانی از راه دور ارائه می‌دهند.
روش دیگری نیز برای شناسایی و حذف آدرس‌های DNS در کنار دسترسی مستقیم به رجیستری وجود دارد. در پنجره مشخصات IPv۴، در بخش تنظیمات پیشرفته، آدرس‌های کارگزار DNS با یک فاصله در کنار هم چیده شده‌اند همانند چیدمانشان در رجیستری، اما در واقع آن‌ها باید به طور عادی زیر یکدیگر قرار گیرند. کاربران می‌توانند ورودی‌های مخرب را از این فهرست حذف کنند و آدرس کارگزار DNS آن‌ها بار دیگر به طور خودکار به دست خواهد آمد.

شرکت ESET روز ۱۰ می این حفره را به مایکروسافت گزارش داد. مایکروسافت نیز تائید کرد که این یک مشکل و خطا است که بابت آن تغییراتی در نسخه‌های آینده ویندوز ایجاد خواهد کرد، اما آن را به عنوان یک حفره امنیتی در نظر گرفته نمی‌گیرد.
مؤسسه ESET افزود که بدافزار DNS Unlocker از ماه دسامبر سال ۲۰۱۵ شروع به استفاده از این روش کرده است. این شرکت امنیتی یک بدافزار تبلیغاتی و دو بدافزار دیگر کشف کرده است که از همین روش استفاده می‌کنند.
محققان گفتند که این روش روی تمامی نسخه‌های ویندوز کار خواهد کرد و حتی اگر هنگام نوشتن آدرس DNS در رجیستری، ویرگول به جای فاصله با یک نقطه ویرگول جایگزین شود باز هم این روش کارآمد خواهد بود.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.