Trojan.DNSChanger

Derrière le nom Trojan.DNSChanger, se cache une catégorie de Trojan qui modifie les serveurs DNS afin de pouvoir effectuer des redirections.
Les buts peuvent être de générer des revenus par des injections des publicités (clickfraud & advertisement replace).
Ces trojans peuvent éventuellement aussi provoquer des attaques de type phishing.

En clair donc, ces modifications DNS permettent des attaques man-in-the-middle (MITM).

Trojan DNS Changer

Les serveurs DNS sont des serveurs déclarés dans la configuration de votre ordinateur ou box/routeurs.
Ces serveurs gèrent les correspondances entre les adresses littérales : www.malekal.com, www.google.fr etc et les adresses IPs.
Une fois l’adresse IP déterminée, il est alors possible de se connecter aux serveurs.
Les correspondances DNS sont donc utilisées par tous les programmes réseaux : navigateurs WEB, clients mails, Skype, jeux en ligne etc.

Un Trojan DNSChanger est donc un Trojan qui modifie les serveurs DNS déclarés dans la configuration réseau.
Ce Trojan peut être lancé une fois, modifie la configuration DNS puis se ferme, ou le Trojan peut-être résident et réinstaller les DNS souhaités.

Cette modification non souhaitée des DNS par des trojans peut se nommer : Hijack DNS et donc ces trojans peuvent être nommés DNS Hijacker.

Le but est donc de placer des serveurs contrôlés par les pirates.
Ainsi ce dernier peut contrôler toutes les résolutions DNS.
Cela permet beaucoup de choses.
Si vous saisissez l’adresse www.malekal.com, le serveur DNS du cybercriminel peut alors faire correspondre n’importe quelle IP.
Il est alors possible de faire aller le visiteur vers un faux sites malekal.com.
Ainsi, le pirate peut mener une attaque de type phishing, et récupérer les mots de passe et identifiants de l’utilisateur.

source : https://blogs.technet.microsoft.com/mmpc/2016/12/13/msrt-december-2016-addresses-clodaconas-which-serves-unsolicited-ads-through-dns-hijacking

Au passage les DNS menteurs utilisés pour la protection ou le filtrage DNS fonctionne de cette manière.
A lire : Filtrage DNS

Une autre utilisation que permet la modification des serveurs DNS est l’injection de publicités.
En clair, les publicités des sites visitées vont être remplacées par des publicités qui permettront aux pirates d’obtenir des revenus.
C’est cette utilisation qui a été la plus répandues jusqu’à présent.

Les logiciels de désinfection peuvent détecter ces modifications à travers la configuration réseau présente dans le registre Windows.
Par exemple, ci-dessous Malwarebytes Anti-Malware (MBAM) détecte Trojan.DNSChanger.

Enfin, si on pense en premier à la configuration DNS des PC.
Des Trojans peuvent aussi s’attaquer aux box/routeurs, à travers le piratage des routeurs.

Voici quelques détails des Trojans DNSChanger qui ont pu exister dans le temps.

Historique des Trojan DNS

2007 – Trojan.DNSChanger

Le premier Trojan.DNSChanger a été vu pour la première fois autour de 2006.
Le trojan restait résidant et modifiait la configuration des DNS et était diffusé à travers de faux codecs sur les sites d’adultes, pour plus d’informations lire : Trojan.DNSChanger/Trojan.Win32.Alureon/Trojan.TDSS


Le but était de générer des revenus publicitaires. En outre, lors d’un clic sur une recherche Google, la victime pouvait être redirigé vers de fausses alertes de virus afin de faire la promotion de Rogues/Scarewares.
Ce Trojan.DNSChanger ont vite été lié aux Rogues/Scarewares, très actifs ces années là, pour monétiser, en plus des redirections publicitaires.

Dans le temps, les différentes variantes ont pu utiliser des classes d’IPs différents pour hébergeaient les serveurs DNS malicieux :

64.28.176.1 – 64.28.191.254
67.210.0.1 – 67.210.15.254
77.67.83.1 – 77.67.83.254
85.255.112.1 – 85.255.127.254
93.188.160.1 – 93.188.167.254
213.109.64.1 – 213.109.79.254

Ce Trojan.DNSChanger a infecté 4 millions d’ordinateurs dans le monde et a pu permettre de faire gagner environ 14 millions d’euros aux auteurs. Tout ceci, avant qu’une opération de démantèlement du FBI ait lieu.
L’opération, en 2011, menée par le FBI est nommée Operation Ghost Click.
Toute l’infrastructure liées au Trojan.DNSChanger a été démantelée par cette opération.
Notamment, la société Estonienne mère Rove Digital a été visée. Rove Digital est une entreprise dont les auteurs ne que les responsables du Trojan.DNSChanger.
Esthost, Estdomains est aussi la société mère d’autres sociétés comme Esthost, Estdomains, Cernel, UkrTelegroup et bien d’autres.

Les deux premières Esthost, Estdomains sont des hébergeurs et domaine Registrar (enregistreur de domaine), utilisaient par les botmasters du Trojan.DNSChanger mais qui pouvaient avoir comme clients d’autres cybercriminels.
En clair donc, ils mettaient à dispositions des serveurs sur internet pour héberger des trojans et l’infrastructure de fonctionnement.
En outre, des infrastructures de Rogues/Scarewares, faux sites pharmaceutiques, Trojan Clicker et autres ont été découverts sur ces hébergeurs.

Un an après, encore 500 000 ordinateurs et routeurs avaient encore des DNS liés au Trojan.DNSChanger.

source : https://krebsonsecurity.com/2015/07/cybercrime-kingpin-pleads-guilty/

Le Trojan.DNSChanger a tellement marqué les esprits, étant aussi le premier de ce genre.
Dans le milieu de la sécurité, ce nom générique vise ce Trojan spécifique alors que d’autres Trojan.DNSChanger ont vu le jour par la suite

2014 – DNS Unlocker

2014 a vu l’explosion des adwares/PUPs, certains ont aussi utilisaient la modification des serveurs DNS.
Le but étant d’injecter des publicités.

Depuis, certains Adware dont CloudScout utilise ce procédé de modification DNS et notamment le fameux DNS Unlocker (qui semble changer de noms depuis vers des noms en *Lix >> AnyFlix / TopFlix etc).

Voici un exemple de publicités DNS Unlocker :

Microsoft détecte notamment ce dernier en BrowserModifier:Win32/Clodaconas.
Afin de pouvoir injecter aussi les sites sécurisés (HTTPs), cet adware installe un certificat racine (certificat root).

Debut 2016 : Trojan.DNSChanger

Un autre Trojan.DNSChanger a aussi été diffusé via un script PowerShell.
Malwarebytes et Cisco ont publié des actualités dessus.
Malwarebytes Trojan.DNSChanger
DNSChanger Outbreak Linked to Adware Install Base

Le script Powershell se lance par une tâche planifiée et est facilement identifiable par une analyse FRST.

Piratage de routeur

Au début d’internet, les utilisateurs utilisaient des modems pour se connecter.
Avec la démocratisation de l’informatique et la multiplication des périphériques dans les foyers… Les box/routeurs ont remplacé petit à petit ces derniers afin de partager la connexion à tous ces périphériques.

Les routeurs ont vite été ciblée par les pirates afin de pouvoir modifier les serveurs DNS, le gros avantage et que vous touchez tous les ordinateurs et appareils du réseau.
Le Trojan.DNSChanger initiale pouvait tenter de se connecter à l’interface administrateur des routeurs à partir d’attaque brute-force.
L’ordinateur infecté tente de se connecter au routeur avec des mots de passe, généralement utilisé par défaut admin/admin admin/12345 etc.
Si la connexion se fait, les DNS du routeur sont modifiés.
A partir de là, des redirections sont opérées ou des remplacements de publicités.
Les premières variantes ont été baptisées : Trojan.RouterChanger.A

En 2014, les piratages de routeurs ont augmenté dus à la publication de multiples vulnérabilités touchant divers routeurs (Netgear, Linksys, TPLink).
Certains de ces piratages de routeur ont conduit à la constitution de botnet mais aussi à des hijack de DNS.

Plus récemment, Décembre 2016, des WebExploit Kit ont aussi intégrés ces vulnérabilités à travers des campagnes de publicités malicieuses (malvertising)Home Routers Under Attack via Malvertising on Windows, Android Devices

En clair donc, en plus de charger un WebExploit Kit, ces campagnes tentent aussi de charger des vulnérabilités pour pirater les routeurs.
Les routeurs suivants ont été visés :

  • D-Link DSL-2740R
  • COMTREND ADSL Router  CT-5367 C01_R12
  • NetGear WNDR3400v3 (and likely other models in this series)
  • Pirelli ADSL2/2+ Wireless Router P.DGA4001N
  • Netgear R6200

A noter que le marché français est différent, puisque les FAI proposent leurs box (souvent SAGEM) et donc de ce fait, les vulnérabilités publiées sur ces constructeurs de routeur ne concernent pas la majorité des internautes.

A noter aussi un possible Hijack des routeurs par Dridex courant 2015 : Dridex : piratage routeur, redirections Google/Youtube

Pour sécuriser son route, rendez-vous sur la page : Comment sécuriser son routeur contre les piratages

Conclusion

Les modifications DNS intempestives sont très vicieuses et peuvent être difficiles à être détectés par les antivirus ou les utilisateurs.
Pour rappel, vous pouvez vérifier la configuration DNS de vos interfaces réseaux comme cela est expliqué sur la page : Comment changer les DNS

Ces Hijack DNS permettent malheureusement pas mal de choses, comme l’injection de publicités ou des attaques de type Phishing.

Pour aller plus loin, lire notre dossier sur les attaques MITM : Attaque Man in the Middle (MITM)

image_pdfimage_print
(Visité 795 fois, 1 visites ce jour)

Add Comment