DNS攻击威胁加剧 变色龙木马出新变种

ZDNet安全频道原创翻译 转载请注明作者以及出处

在过去一年里的，看起来DNS变色龙木马的开发者工作是相当积极的，仅仅在这么短的时间里就发布了三个新的升级版本。对于广大安全从业人员来说，最新发布的版本特别需要引起重视。在本文中，我们将对DNS变色龙木马的概况进行介绍，并提供找到和清除它的方法。
--------------------------------------------------------------------------------------------

　　顾名思义，DNS变色龙木马(Trojan.Flush.M)是一个恶意工具，可以被黑客用来攻击初级和中级DNS服务器以达到取代正确网络IP地址的目的。一旦这种情况发生，所有和DNS相关的查询请求都会变成对DNS服务器的攻击。根据实际情况的不同，被黑客操纵的DNS服务器可以选择返回正确或者错误的DNS记录信息。

　　你也许会问，为什么会发生这样的情况呢?原因其实很简单，这和黑客需要进行的欺骗攻击有关。如果黑客操纵DNS服务器对大多数域名解析请求进行正确响应的话，用户就不会产生怀疑。这样的话，他们就可以通过创建恶意副本对真正需要进行攻击的网站发出的域名解析请求进行欺骗攻击了。

　　如果接受到这样的请求，被黑客操纵的DNS服务器将会把包含了恶意网站信息的记录伪装为正确的信息记录发送回去。一旦用户的网络浏览器接受了这样包含恶意网站的信息记录，就很容易被黑客通过常见的系统漏洞获取个人信息或者安装更多的恶意软件到系统中。

　　臭名昭著的DNS变色龙木马在苹果OS X操作系统里也可以象在Windows操作系统中一样发作。一些安全专家甚至宣称，DNS变色龙木马导致苹果公司公开建议(但很快又被收回了)用户使用防病毒软件可能是一个好主意。

　　关于DNS变色龙木马很有趣的一点是，它的版本更新情况是相当严格有序的，这一点可以通过它的分布情况得到证实。通过对这种恶意软件的源代码进行详细分析，安全专家们了解了它的方方面面。

　　尽管包含了三个不同的版本，但DNS变色龙木马的目的是一样的：对DNS服务器进行攻击以获得控制权。从专家们的分析结果来看，了解该木马的工作原理以帮助我们降低可能面临的风险，是一个很好的主意。

　　第一个版本

　　DNS变色龙木马的第一个版本是在2008年1月被安全专家发现。当时它出现在一个网站上，正试图欺骗用户将其作为电影下载。情况类似典型的欺骗攻击，网站宣称为了播放电影，需要在用户计算机上安装一种特殊类型的文件或者编解码器。而实际情况是，所谓的编解码器就是DNS变色龙木马，在要求用户提供了系统管理员权限后，它就会被安装在系统中。

　　因为它几乎没有包含什么恶意行为，这个版本让安全专家们感到相当的困惑。它仅仅改变了受到攻击计算机的DNS设置，并利用指定的命令将结果返回到控制服务器，仅此而已。作为木马，第一个版本可以同时感染苹果以及微软的操作系统。

　　第二个版本

　　第二个版本是在2008年7月被发现的，它采用了推技术来进行安装。在被安装在系统中后，第二版会尝试获取网络上存在的任何网关路由器的拥有管理权限的用户名和密码。如果DNS变色龙木马成功地获得了管理权限，它将会通过网络登陆网关路由器进行系统配置。

　　接下来，它就会将网关路由器中DNS服务器设置改换为攻击者控制的DNS服务器。之后，所有在网关路由器的动态主机分配协议控制下的计算机将接受来自错误DNS服务器提供的网络IP地址，而后面的过程就和第一版一样了，所有的域名解析请求将发送到攻击者控制的DNS服务器。

　　如果你仔细想一下，会发现这种攻击策略是相当有效的。即使木马被从系统中清除出去，但网关路由器还是会继续向攻击者控制的DNS服务器发送信息。不过这个版本现在也已经过时了，因为人们已经发现需要对网络管理设备的默认设置进行调整，恢复被木马修改的设置了。

　　第三个版本

　　第三个版本是在本月初刚刚发现的，看起来该木马的开发者是相当的严谨，定期发布新版本。现在，它采用了ndisprot.sys(网络驱动程序接口规范协议驱动程序)作为一个已注册的服务，这样的话就可以在受到控制的计算机上创建一台动态主机分配协议服务器。伪装的动态主机分配协议服务器可以向网络上的其他计算机发送动态主机分配协议Discover数据包，最终将查询请求转移到攻击者控制的DNS服务器所在的网络IP地址上。

　　这种攻击模式的关键是伪装的动态主机分配协议服务器响应速度比真正获得授权的动态主机分配协议服务器快。如果动态主机分配协议服务器客户端接受的动态主机分配协议查询响应来自伪装的动态主机分配协议服务器，这就意味着攻击已经成功了。伪装的动态主机分配协议服务器采用了租赁时间很长的内部网络IP地址，并且包含了攻击者控制的DNS服务器的主要和次要网络IP地址。

　　第三版中也存在很多缺陷。举例来说，如果感染了DNS变色龙木马的计算机登陆到一个开放的无线网络中会出现什么样的情况?任何新登入者都可能从伪装的动态主机分配协议服务器中获得错误的DNS信息。对于攻击来说，这种改变的效果也更好，因为它不必再费力对默认的管理权限进行猜测以获得控制权了。

　　需要注意的事项

　　系统管理及网络安全协会互联网风暴中心提醒用户，如果不能彻底阻止从85.255.112.0到0.255的这段网络地址的话，对来自这个网络地址段的流量进行监测是明智的选择。这似乎是攻击者控制的DNS服务器所在的网络地址段。对于个人计算机来说，使用者可以很方便的通过ipconfig命令(Windows操作系统)、ifconfig命令(Linux操作系统)或系统预置(苹果操作系统)来确定主要和次要DNS服务器所使用的网络IP地址。

　　至于网络上伪装的动态主机分配协议服务器，可以利用动态主机分配协议查询工具搜索和分析同一个网络里和动态主机分配协议服务器相关的所有信息。

　　目前看来，大多数防病毒工具都可以发现所有三种版本的DNS变色龙木马，这是一件好事情。因此，请确保已经将防病毒工具升级到最新的版本。并且，即使在确认系统安全的情况下，对于DNS的重定向也需要慎重对待。

　　结 论

　　所有版本的DNS变色龙木马都是在公开环境中出现的，但第三个版本更需要受到重视的。如果可能的话，我建议工作计算机的网络接口采用静态网络IP地址的DNS服务器。OpenDNS强烈建议这样做，并且在自己的网站上解释了到底该怎么进行相关的设置。此外，OpenDNS还消除了包括卡明斯基发现的DNS错误在内其他一些潜在问题。

　　对于大型网络来说，往往不能选择静态网络IP地址的DNS服务器，这时间，对来自85.255.112.0到0.255的网络地址流量进行监测就变得非常重要了。同时，采用某种形式的恶意动态主机分配协议服务器监测也是同样重要的。