Tietoturva nyt!

10.12.2008

DNS-asetuksiin vaikuttavia haittaohjelmia ja 85.255.112.0/20

CERT-FI:n tietoon on tullut, että jotkin haittaohjelmat muuttavat kaapattujen tietokoneiden nimipalvelinasetuksia (DNS) siten, nimenselvityspyynnöt ohjataan ulkomaiseen verkkoalueeseen. Eri lähteistä saamiemme raporttien mukaan kyseiseen verkkoalueeseen suuntautuvan DNS-liikenteen määrä on kasvanut rajusti. Tämä viittaa joko haittaohjelmatartuntojen määrän kasvuun tai - mikä todennäköisempää - muutoksiin haittaohjelmien kontrolloimiseen käytetyssä infrastruktuurissa.

Nimipalveluasetuksia manipuloivia haittaohjelmia

Useat DNSChanger-nimellä tunnetun haittaohjelman variantit ohjaavat tartuttamiensa tietokoneiden nimenselvityspyynnöt teleyrityksen asiakkailleen osoittamien nimipalvelinten sijasta verkkorikollisten hallussa oleviin verkkolohkoihin.

Uudelleenohjaus tehdään joko suoraan saastuneen työaseman DNS-asetuksia manipuloimalla tai väärentämällä laajakaista- ja yritysverkoissa yleisessä käytössä olevan lähiverkon työasemien verkkoasetusten automaattiseen määrittelyyn tarkoitetun DHCP-protokollan mukaista liikennettä. Jälkimmäisestä toteutustavasta kirjoitettiin 5.12. julkaisemassamme Tietoturva nyt! -artikkelista.

Määrät kasvussa

Tällä hetkellä otsikossa mainittuun verkkoon osoittavia haittaohjelmavariantteja on jo yli 200 kappaletta. Ulkomaisista lähteistä saamiemme tietojen mukaan kyseiseen verkkoalueeseen suuntautuvan liikenteen määrä on viime aikoina ollut rajussa kasvussa. Luultavasti tämä johtuu siitä, että nämä verkkoalueet on äskettäin aktivoitu ja olemassa oleva haittaohjelmakanta on määrätty käyttämään kyseisen verkkoalueen tarjoamia resursseja.

CERT-FI:n tietoon on viime päivinä saatettu yksittäisiä tapauksia, joissa suomalaisten verkkojen käyttäjien tietokoneet olisivat saaneet DNSChanger-tyyppisen haittaohjelmatartunnan. CERT-FI:llä ei ole kuitenkaan tällä hetkellä tarkkaa tietoa suomalaisten haittaohjelmatartuntojen määrästä.

Kohdeverkko

CERT-FI:n havaintojen mukaan yllä listatuissa verkoissa huomattavan moni osoite vastaa nimipalvelupyyntöihin. Tarkkaa tietoa ei ole, onko kyselyihin saatuihin vastauksiin luottamista. Tavanomaista on, että rikollisessa tarkoituksessa perustetut nimipalvelimet antavat vääriä vastauksia tarkasti harkittuihin osoitteisiin kuten virustorjuntaohjelmistojen päivityspalvelimiin, verkkopankkeihin, pelipalveluihin, huutokauppasivustoihin ja sähköpostipalveluihin.

CERT-FI:n tietojen mukaan Internet Path, Inc. on sama toimija kuin 13.11. julkaisemassamme Tietoturva nyt! -artikkelissa mainittu Cernel. UkrTeleGroup sen sijaan on käyttämiemme ukrainalaisten virallislähteiden mukaan fiktiivinen yritysnimi. On jopa epäselvää, sijaitsevatko yllä listatuista ip-osoitteista vastaavat palvelimet todellisuudessa Ukrainassa.

Jos työaseman DNS-liikenne suuntautuu lähiverkolle osoitettujen nimipalvelinten sijasta verkkolohkooon 85.255.112.0/20, tietokone on erittäin todennäköisesti haittaohjelman saastuttama.

Minimiperiaatteen tai sulkeumaoletuksen soveltaminen

Erityisesti yhteisötilaajien palomuureja hallitsevien on syytä harkita niin sanotun minimivaltuusperiaatteen soveltamista vähintään omassa verkoista ulos suuntautuvien nimipalvelukyselyiden osalta. Minimiperiaate tarkoittaa sitä, että tietoliikennettä rajoitetaan ja ainoastaan välttämätön liikenne sallitaan. Sulkeumaoletus tarkoittaa sitä, että kaikki liikenne on oletuksena kielletty ja jokainen salliva tietoliikennesääntö täytyy olla nimenomaisesti perusteltu.

Näiden periaatteiden soveltaminen tarkoittaisi tässä yhteydessä sitä, että oman verkon työasemilta sallittaisiin DNS-liikenne vain ylläpitäjän määrittämille ja luotettaviksi tuntemille DNS-resolverinimipalvelimille tai DNS-forwardereille. Suoraan internetiin suuntautuvat nimipalvelukyselyt estettäisiin tai pakotettaisiin ylläpidollisin toimin halutuille DNS-palvelimille.

[Edit/2008-12-11: Otsikosta korjattu väärin kirjoitettu osoite 85.255.122.0/20 -> 85.255.112.0/20.]

Lisätietoa

Sivua päivitetty 11.12.2008

Tulostusversio