jueves, 23 de febrero de 2012

Don’t feed the troll…!!! Algo acerca del DNS Changer

Paseaba por la red y de pronto me encontré con una noticia que me llamó la atención, un nuevo virus aterrorizaba el ciberespacio y afectaba a sistemas Windows, Linux y Mac indiscriminadamente, por lo que mi curiosidad me llevo a observar la nota, dándome cuenta de que se trataba del DNS Changer, no puedo negar la desilusión, quería encontrarme con un virus de plataforma cruzada y aprender algo nuevo, bueno, en fin, leí la nota que aunque informativa, carecía de investigación y era muy alarmista e imprecisa.
Bueno, siempre me gusta leer los aportes de las personas que como yo, llegaron a leer esta nota y desgraciadamente no falta el troll con sus apuntes: “Jajaja Linux no se ve afectado, apparmor protege todo, y no creo mac, la única porquería que se infecta de todo es Windows” y a pesar de las continuas invitaciones a leer un poco mas acerca del asunto que se le ofrecían a este troll, el persistía: “Se nota que no tienes idea, todas las configuraciones de los navegadores de internet en Linux, están protegidas por apparmor, si un usuario no hace nada estúpido como permitir acceso root para evitar de poner la contraseña de ves en cuando, es casi invulnerable. deberías informarte tu a propósito del funcionamiento de Linux y su escudo a las aplicaciones y configuraciones de las DNS”, debo reconocer que aquí quizás tenga razón, solo si supiera que esto nada tiene que ver con el problema, en fin, hubo muchos argumentos, tratando de hacer entender a este troll (craso error) de lo importante que es documentarse para afirmar una opinión y en este escenario aparezco yo tratando de organizar un poco las ideas de todo este meollo tratando de dar un poco de luz acerca de este confuso tema.

 

Algo de historia...

En el año 2003 sería descubierto el que actualmente se podría considerar el precursor de este vector de ataque, o este troyano en particular ( aquí ya hablo del DNS Changer y no del troll ;) ), a este troyano la mayoría de empresas dedicadas a la seguridad y los antivirus le dieron el nombre de Qhosts, para algunos ya les será familiar esta apropiada denominación ya que efectivamente atacaba este poderoso pero vulnerable archivo de los sistemas Windows, el archivo hosts generalmente se encuentra almacenado en esta dirección%WINDIR%\SYSTEM32\DRIVERS\ETC y es un archivo de texto plano, editable con el bloc de notas o cualquier otro editor de textos y contiene la primera configuración inicial de resolución de nombres, esto quiere decir que si en un navegador web intentamos acceder a una dirección, digamos pagina.com y esta dirección aparece mencionada en el archivo hosts, automáticamente se redirigiría a su respectivo alias, también descrito en este archivo, esta técnica es muy usada por los administradores de red para bloquear el acceso a sitios ya que es tan sencillo como agregar la linea
pagina.com 127.0.0.1
lo que haría inaccesible esta dirección, en fin, el primer cambiador DNS puede ser este, aunque no interfiere directamente con los DNS, si hace una eficiente redirección.

Ya definido el vector de ataque ( la idea era que silenciosamente se redirigiera el tráfico cada vez que se intentara navegar en la Internet ) este troyano o mejor, la familia de troyanos que nacieron para hacer un eficiente DNS Change se especializo, pasando por modificar los mecanismos de configuración en los sistemas afectados hasta concentrarse en lo mas importante, la base que realmente traduce y redirecciona el tráfico de la red, los Gateway y Routers. En este punto el malware ya se encuentra bastante posicionado, perfeccionado y especializado, se concentra en atacar los vulnerables routers que tenemos en nuestras casa (ajam, el aparatico con todos esos bombillitos parpadeantes) o en las empresas ( muchísimas entidades se vieron afectadas por este malware, afecto alrededor de 100 países en todo el mundo y se diseminó de una forma alarmante), en este punto ya nadie se salva, todo el equipo que tenga acceso a través de un Gateway – Router – Red comprometido, se vera afectado por el DNS Changer que guardaba su secreto y que les revelo a continuación.

 

DNS Changer. Y por qué tanto alboroto?

Teniendo en cuenta la enorme calidad de estos últimos troyanos, se presentía que una mano negra estaba detrás de todos estos ataques, y si, resulta que el FBI después de alrededor de 5 años de intensa investigación en conjunto con importantes empresas de seguridad, dieron con el origen de los ataques siendo la compañía Rove Digital radicada en Estonia la empresa a la que se le atribuyó la inserción en mas de 4 millones de computadoras una variante del troyano en el 2007. Operando una enorme red de empresas fachadas que cobraban los dividendos obtenidos a raíz de la publicidad esta empresa logro amasar una enorme fortuna pero, como la obtuvieron? Sencillamente al redireccionar todo el tráfico de los equipos afectados a sus servidores ( alrededor de 100 sólo en Estados Unidos ) estos parecían como el origen de todas las interacciones comerciales y click's que los usuarios hacían a banners. Simple pero efectivo.

Ya para finales del 2011, y bajo el nombre clave “Operation Ghost Click” (demasiado creativos los del FBI) lograron desmantelar esta red, en estos momentos estos canallas no cobran dividendos por este tráfico y las personas involucradas fueron arrestadas, así que entonces? Por que todavía se habla del troyano?.

Resulta que el proceso de limpieza del rastro de este malware ha sido poco eficaz, se han dispuesto herramientas, la mayoría de empresas dedicadas a la seguridad ofrecen aplicaciones que ayudan a solucionar este chicharrón que se armó por todos lados pero aún hoy en día, se presume que al apagar y desconectar estos servidores DNS fraudulentos, los equipos afectados no podrán dirigir correctamente su tráfico hacia la Internet perdiendo su capacidad para conectarse a esta red, es por eso que se oye tanto alboroto por estos días, ya que el FBI ha anunciado que el 8 de Marzo de este año será la desconexión definitiva de esta malla de servidores.

En este punto y para terminar tan larga historia es hora de las moralejas...

Si bien es cierto que la mayoría de equipos afectados fueron windows ( por su enorme penetración, o por todas lar razones ampliamente conocidas ) en la actualidad, desde un reproductor MP3, una tablet, o lo que pueda conectarse a la Internet puede ser vulnerable a este Malware, solo necesita pasar su tráfico a un tramo de red afectado.

Los equipos de Apple tienen un sistema operativo derivado de Unix, así como lo es Linux, por tal motivo y a pesar de los enormes esfuerzos para hacer mas seguros y confiables estos sistemas, no se salvaron de ser posibles víctimas de estos troyanos.

Estar atentos a las noticias relacionadas con temas de seguridad nos pueden ayudar a tomar decisiones que puedan ayudar con nuestra seguridad informática.

Y por último, Don't feed the troll, no alimentemos el troll, abundan por doquier y se alimentan de nuestra necesidad de ayudar y explicar mejor sobre lo que entendemos, argumentar es bueno, pero luchar contra aquellos que basan su criterio mas en el fervor que en sus conocimientos es absurdo y desgastante.

Espero haber aclarado algo acerca del DNS Changer, incluyo algunos Links de donde encontré información relacionada y noticias al respecto

Herramientas para eliminar el troyano e información técnica del mismo

Un par de artículos excelentes acerca de todo el fenómeno DNS Changer