DNS پنهان بانام “Crouching Tiger”
DNS پنهان بانام “Crouching Tiger“:در زمان کار در بخش پشتیبانی، ممکن است برای مشتریان و کاربران هرگونه مشکلی پیش بیاید که در برخی موارد آنها جالب هستند. در هفتههای گذشته ما شاهد یک دزدی (Hijack) DNS بودهایم که سیستم قربانی را بر روی سرورهای DNS خاص تنظیم میکند. این حمله شاید خیلی مهم به نظر نرسد و بهآسانی اصلاح گردد اگر برای کاربر آشکار باشد. اما اگر تنظیمات بهگونهای باشد که بر روی سرورهای DNS اصلی و ثانوی در فیلدهای موردنظر GUI دیده نشود، مشکلات به وجود خواهد آمد. تنظیمات آشکار اعلام میکنند که شما از DHCP استفاده میکنید که امری معمولی است، اما داستان چیز دیگری است.
این کار در حال حاضر توسط یک برنامه احتمالی و ناخواسته (PUA یا Potentially Unwanted Application) بانام DNS Unlocker و چندین تهدید دیگر انجام میگردد. DNS Unlocker تنظیمات شبکه قربانی را با استفاده از یک سرور DNS غیرواقعی تغییر میدهد. وقتیکه مرورگر قربانی به دنبال google-analytics.com میگردد این سرور DNS را به یک سرور مخرب Injection با Javascript اضافه هدایت میکند. این امر انجام میشود تا DNS Unlocker از طریق تبلیغات به داخل صفحه وب وارد شود که از Google Analytics استفاده میکنند. سیستمهای آلودهشده یک تبلیغات میبینند که در قسمت پایین آن یادداشتی با مظنون (Ads by DNSUnlocker) یا موردی مشابه وجود دارد و چندین نوع برنامه کلاهبرداری بهصورت Popup دیده میشود.
شکل 1- تبلیغات تزریقشده در صفحه وب
شکل 2- برنامه کلاهبرداری پشتیبانی برای ترساندن کاربر
تغییرات در تنظیمات DNS
دزدی (Hijack) DNS پدیدهای جدید نیست و آنقدر اهمیت ندارد. آنچه که ورژن های جدید DNS Unlocker را جالب میسازد این است که آنها از روشی استفاده میکنند که مخفیانه DNS سیستم قربانی را تنظیم میکند. در زمان بررسی مشخصههای TCP/IPv4 در ویندوز، هر نوع ورودی استاتیک DNS در قسمت پایین پنجره پانل کنترل دیده میشود (شکل 3). اگر از گزینه ” Use the following DNS server addresses” استفاده کنیم باید یک آدرس IP در فیلد ” Preferred DNS server” وجود داشته باشد و ممکن است که حتی یک فیلد انتخابی ” Alternate DNS server” دیده شود. اما اگر از DHPC برای دریافت آدرس DNS استفاده شود. گزینه “Obtain DNS Server address automatically” انتخاب خواهد شد (شکل 3).
شکل 3- پنجره TCP/IPv4 در پانل کنترل با تنظیمات عادی
DNSUnlocker PUA تنظیمات قربانی را بهگونهای انجام میدهد که به نظر میرسد کاربر آنرا را بهطور خودکار دریافت میکند. درواقع دستور “ipconfig /all” از command line نشان میدهد که شما از DHCP استفاده میکنید، اما میتوانید آدرسهای DNS استاتیک را مشاهده کنید. در زمان استفاده از ipconfig بااینکه میتوان آدرسهای DNS استاتیک را دید، روشی برای تشخیص اینکه آیا یک آدرس استاتیک است یا در GUI بهطور اتوماتیک استفادهشده است وجود ندارد. در این صورت به نظر میرسد که شما از یک آدرس DNS دادهشده اتوماتیک استفاده میکنید که درواقع آن استاتیک یا پنهان است. این موضوع مرتبط با DNS استاتیک در registry ویندوز میباشد.
DNS در registry ویندوز
این مسیر را در registry بررسی کنید.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\
احتمالاً خواهید دید که تنظیماتی برای چندین رابط شبکه وجود دارد و هرکدام با GUID شناساییشده است. این تنظیمات برای هر آداپتور شبکه متفاوت است و میتواند دارای ارزشهای DhcpNameServer و NameServer باشد. ارزش NameServer در اینجا بررسی میگردد. اگر میخواهید از DNS استاتیک استفاده کنید، آنرا در Control panel تنظیم نمایید یا از طریق دستور netsh انجام دهید. با این کار آدرسهای DNS شما در Nameserver registry بهعنوان یک لیست با ویرگول مانند مثال زیر ذخیره دیده خواهد شد.
192.168.1.21,192.168.1.22
اگر مانند مثال ذیل از لیست بدون ویرگول استفاده کنید، ویندوز آنرا خواهد شناخت اما بهعنوان گزینه دوم خود در نظر خواهد گرفت.
192.168.1.21 192.168.1.22
GUI ویندوز قادر نیست که نشان دهد که کامپیوتر از DNS استاتیک در بخش پایین پانل کنترل استفاده میکند (شکل 3)، اما سیستم نشان میدهد که کامپیوتر از DHCP برای DNS استفاده میکند که درواقع حقیقت ندارد. مشکل در اینجاست که اگر با یک مشتری کار میکنید که تبلیغات به سایتهای او inject میگردد یا در حال کار با اینترنت بهجای دیگر هدایت میشود، در زمان تست برای تنظیمات DNS، تنظیمات دستی در control panel کمک نخواهد کرد.
چون ویندوز فکر میکند که سرورهای DNS اولیه و ثانویه تنظیمشدهاند (اما پنهان هستند) پس از پر کردن فیلدهای Prefered و Alternate، ویندوز آنها را به آخر لیست در registry اضافه میکند، مانند مثال ذیل:
192.168.1.21 192.168.1.22,208.67.222.123,208.67.220.123
بدین ترتیب ویندوز از ویرگول برای space delimitation برای فیلدهای سوم و چهارم سرور DNS استفاده میکند، اما فواصل موجود مابین delimiter های آدرسهای اول و دوم را باقی میگذارد. دلیل این مسئله مشخص نیست اما توضیح مایکروسافت به شرح ذیل است.
“اگر ارزش Nameserver Valid باشد، آن بر ارزش DhcpNameServer اولویت دارد (منبع: مقاله DhcpNameServer در سایت Technet)
چون DhcpNameServer میتواند که space delimitation داشته باشد، Nameserver نیز همین اجازه را خواهد داشت. به نظر میرسد که ارزش Nameserver برای لیستهای delimited space در نظر گرفتهشده است. درواقع اینیک property غیراستاندارد در ویندوز میباشد که control panel قادر به اجرا درست آن در GUI نمیباشد. control panel به شما اجازه واردکردن لیست space-delimited یا یک لیست comma-delimited را نمیدهد.
آنیک لیست comma-delimited از هر آنچه کاربر در GUI در فیلدهای Prefered و Alternate وارد میکند میسازد، اما بقیه کد درجاهای دیگر (که این ارزش registry را میخواند و آنرا بهصورت حالت space-delimited قبول میکند) است و با هر دو delimiter درست عمل میکند. پانل کنترل GUI به همین روال عمل نمیکند چون ورودیهای space delimited را بهغیراز در Advanced Tab نشان نمیدهد.
DNS در تنظیمات شبکه
قابلیت بالا توسط PUA ها برای ادامه استفاده اجباری از سرورهای DNS خود بهجای سرورهای اصلی بر روی کامپیوترهای آلوده قرار میگیرد. درواقع اینیک دزدی DNS محسوب میگردد که با استفاده از سرورهای پنهان DNS میباشد. درواقع سرورهای استاتیک DNS آن تنظیمات را در لیستهای عادی فیلدهای Primary و Secondary مشخصات TPC/IPv4 نشان نمیدهد و برای همین پنهان محسوب میگردد.
با دانستن اینکه چگونه DNS نادرست در Registry تنظیم میگردد به یک بخش دیگر مشخصات TPC/IPv4 میپردازیم که پنجره تنظیمات “Advanced TCP/IP” میباشد (شکل 4(. قسمت بالای این tab دارای یک لیست است که ترتیب استفاده سرورهای DNS را تعیین میکند و به شما اجازه میدهد که استفاده از بیش از 2 آدرس IP در سرور DNS را مشخص کنید. هر آدرس باید بر روی line خود باشد. اگر آدرس DNS سرقت شده و پنهان باشد، تنظیمات TCP/IP مانند شکل 4 خواهند بود.
شکل 4- تنظیمات پیشرفته TCP/IPDNS در control panel با تنظیمات DNS پنهان
میبینید که دو آدرس در یک line وجود دارد و توسط space از هم جداشده است. اگر سعی کنید با گزینه Add دو آدرس دیگر را با ویرگول وارد کنید، خطای ” Invalid IP Address” را دریافت میکنید و نمیتوانید آنها را اضافه کنید. اگر بخواهید دستی سرورهای DNS را در فیلدهای “Preferred DNS server “و ” Alternate DNS server ” در صفحه مشخصات TCP/IPv4 وارد کنید و DNS پنهان باشد، میبینید که متن شما زیر اطلاعات DNS پنهان واردشده است(شکل 5).
شکل 5- تنظیم دستی ورودیهای DNS وقتیکه تنظیمات DNS پنهان باشد
ترمیم و جبران
میتوانید که آدرسهای DNS نامناسب را در صفحه تنظیمات Advanced TPC/IP حذف کنید.
جمعبندی
چون ویندوز از یک لیست space-delimited سرورهای DNS برای ارزش NameServer در رابط استفاده میکند و آنرا میخواند، بهجای اجرا جدی یک لیست دارای ویرگول، PUA ها میتوانند از این روش برای پنهان کردن تنظیمات DNS در سیستم کاربر استفاده کنند. این روش در اواخر سال 2015 در DNS Unlocker و ویندوزهای XP، Vista، 7، 8/8.1 و 10 شناخته شد.
نشانههای نقض (IoC)
ورژن های DNS Unlocker در برنامه MSIL/Adware.CloudGuard.C. استفاده از آدرسهای IP ذیل برای سرقت DNS.
• 199.203.131.145
• 199.203.131.150 to 199.203.131.152
• 82.163.142.2 to 82.163.142.7
• 82.163.142.66 to 82.163.142.70
• 82.163.142.130 to 82.163.142.189
• 82.163.143.131 to 82.163.143.190
• 95.211.158.129 to 95.211.158.135
• 95.211.158.145 to 95.211.158.151
آدرسهای IP استفادهشده برای سرورهای HTTP برای تزریق Javascript مخرب که در تبلیغات صفحات وب نشان داده میشوند.
• 82.163.143.23 to 82.163.143.250
• 209.88.193.133 to 209.88.193.141
بدافزارهایی که از این تکنیک استفاده میکنند.
SHA-1 ESET Detection Name NameServer values used
E7108973D9AE0BDB97801C959622E1ECECDCE80E MSIL/Adware.CloudGuard.C application 82.163.143.17 182.163.142.173
AEEEA6C3697D983337598E2D3B940DB0225A05CB Win32/Agent.XSF trojan 199.203.131.145 82.163.143.167
A9AC712B4D31F20AC3DEFC066D66C2982A4ADC0C Win32/DNSChanger.NDI trojan 199.203.131.151 82.163.143.181
1A1764F7AA3E9F81B23997982E1BDB300D3707B1 Win32/Adware.Adposhel.F application 82.163.142.3 95.211.158.130
