Insides: DNSUnlocker-Malware nutzt Windows-Fehler

Bei ESET findet sich im Sicherheitsblog ein relativ neuer Beitrag, der sich mit dem Thema DNS-Änderung durch Malware befasst. Dabei wird ein Implementierungsfehler in Windows beschrieben, den die Malware ausgenutzt, um die DNS-Änderung zu verschleiern (Phänomen “Hidden DNS”). Ich fand die inhaltliche Beschreibung ganz interessant, da sie verrät, wie die Malware vorgeht, um eine Entdeckung zu erschweren.


Werbung

Die Sache mit dem DNS

Das Domain Name System (DNS) sorgt dafür, dass beim Aufruf von Webseiten wie www.borncity.com die Anfrage im Internet auf die richtige IP-Adresse mit dem Webserver landet. Hierzu werden von Internet-Providern und anderen Institutionen DNS-Server betrieben, deren IP-Adressen in den Windows Netzwerkeinstellungen eingetragen sind. 

… und die Risiken

Nun kann Malware die DNS-Einstellungen so verändert, dass alle Webseitenanfragen über eigene Server geleitet werden. Malware oder unerwünschte Software (Potentially Unwanted Applications, PUA), die die DNS-Einträge von Windows manipuliert, ist nichts neues (siehe Linkliste am Artikelende). Meist wird dies genutzt, um Werbung (Ads) beim Surfen im Browser per injiziertes JavaScript einzublenden.


(Gefälschte Warnung – Quelle: ESET)

Diese Umleitungen auf fremde DNS-Server (DNS-Hijacking) könnten aber auch auf infizierte Webseiten weiterleiten, die Schadsoftware auf das System des Nutzers installiert. Oder es werden gefälschte Warnungen (wie oben) eingeblendet, um den Nutzer zu erschrecken und auf dubiose Supportseiten zu leiten.

Hidden DNS-Einträge durch Malware

Im Artikel Crouching Tiger, Hidden DNS wird nun eine spezielle Variante des DNS-Hijacking – DNSUnlocker – beschrieben. Auch DNSUnlocker ist nicht neu, sondern seit längerem bekannt. Interessant finde ich aber den Ansatz, mit dem die DNSUnlocker-Variante die Manipulation verschleiert.

Die DNS-Einstellungen von Windows lassen sich in den Eigenschaften einer TCP-IP-Verbindung des Netzwerks abrufen (Netzwerk- und Freigabecenter – Adaptereinstellungen verändern, dann den Netzwerkadapter per Doppelklick anwählen und in den Eigenschaften auf der Registerkarte Netzwerk das IPV4-Protokoll per Doppelklick anwählen). Dann sollte folgende Registerkarte erscheinen.

Normalerweise ist dort die Option DNS-Serveradresse automatisch beziehen markiert, so dass der vom Router oder vom Provider vorgegebene DNS-Server verwendet wird. Man kann aber auch einen bevorzugten und einen alternativen DNS-Server eintragen. Über Erweitert lassen sich sogar mehrere DNS-Server vorgeben.


Werbung

Ein Windows-Darstellungsfehler und die Folgen

Im ESET-Blog-Beitrag wird nun berichtet, dass der DNSUnlocker den DNS-Eintrag in der Registrierung unter:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\Interfaces\

ganz geschickt manipuliert. Normalerweise werden die Adressen der DNS-Server als Liste, getrennt durch Kommas, in der Form 192.168.1.21,192.168.1.22 eingetragen. Und über die Registerkarten der Netzwerkeigenschaften geht auch nichts anderes. Die DNSUnlocker-Variante verwendet aber ein Leerzeichen als Blank. Das hat drastische Konsequenzen: Windows kann im Netzwerk beide DNS-Adressen trotzdem verwenden. Allerdings schlägt die Anzeige der DNS-Einträge auf der Registerkarte Allgemein fehl – ESET hat ein Beispiel gepostet.


(Quelle: ESET)

Während auf der Registerkarte Allgemein eine DNS-Server-Adresse angezeigt wird, zeigt die Registerkarte DNS, dass in Wahrheit zwei andere DNS-Server-Einträge am Anfang der DNS-Server-Adressliste stehen. Diese werden dann von Windows bevorzugt zur Namensauflösung verwendet. Die wahren DNS-Einträge werden also verschleiert.

Man kann die fehlerhaften DNS-Einträge auf der Registerkarte DNS leicht über eine Schaltfläche löschen. Aber der von der Malware verwendete Trick funktioniert nur, weil in Windows zwei unterschiedliche Implementierungen zur Anwendung und Anzeige der DNS-Einträge verwendet werden.

Verwendung in MSIL/Adware.CloudGuard.C

Diese Manipulation wurde von ESET bei der MSIL/Adware.CloudGuard.C-Adware gefunden, die seit Februar 2016 auftaucht. Die Malware kommt meist im Beifang mit kostenloser Software auf das Windows-System.

ESET hat diese Entdeckung am 10. Mai 2016 an Microsoft gemeldet und das Problem wurde vom Microsoft Security Response Center (MSRC) bestätigt.

Einen Patch wird es wohl nicht so fix geben, weil Microsoft der Meinung ist, dass das Problem nicht so gravierend sei und Registrierungseinträge nur mittels administrativer Berechtigungen gesetzt werden können. Möglicherweise wird das Ganze zukünftig mit neuer Software mal gefixt.


Werbung

DNSUnlocker aus Windows entfernen

Generelle Hinweise, um DNSUnlocker aus Windows und aus dem Browser zu entfernen, finden sich z.B. hier, hier und hier. Und dieser Beitrag adressiert die modifizierte Variante dnsvail.exe, die von ADwCleaner erkannt und beseitigt wird. Das Tool Spyhunter sollte man imho nicht einsetzen, sondern eher auf den AdwCleaner setzen. Die Artikel erwähnen die manipulierten DNS-Einträge nicht. Man sollte also im Nachgang noch die DNS-Einträge auf der Registerkarte DNS – gemäß meinen obigen Hinweisen – überprüfen.

Ähnliche Artikel:
Malware Trojan.DNSChanger umgeht Powershell-Restrictionen
DNS-Changer Malware bedroht 20.000 deutsche Internet-Nutzer


Werbung



Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Kommentare zu Insides: DNSUnlocker-Malware nutzt Windows-Fehler

  1. Pingback: Anonymous

  2. Ja das finde ich auch immer sehr interessant wie Malware vorgeht und wo das überall drauf zugreift, aus dem Grund lese ich auch immer heise.de/security mit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.