Bei ESET findet sich im Sicherheitsblog ein relativ neuer Beitrag, der sich mit dem Thema DNS-Änderung durch Malware befasst. Dabei wird ein Implementierungsfehler in Windows beschrieben, den die Malware ausgenutzt, um die DNS-Änderung zu verschleiern (Phänomen "Hidden DNS"). Ich fand die inhaltliche Beschreibung ganz interessant, da sie verrät, wie die Malware vorgeht, um eine Entdeckung zu erschweren.
Anzeige
Die Sache mit dem DNS
Das Domain Name System (DNS) sorgt dafür, dass beim Aufruf von Webseiten wie www.borncity.com die Anfrage im Internet auf die richtige IP-Adresse mit dem Webserver landet. Hierzu werden von Internet-Providern und anderen Institutionen DNS-Server betrieben, deren IP-Adressen in den Windows Netzwerkeinstellungen eingetragen sind.
… und die Risiken
Nun kann Malware die DNS-Einstellungen so verändert, dass alle Webseitenanfragen über eigene Server geleitet werden. Malware oder unerwünschte Software (Potentially Unwanted Applications, PUA), die die DNS-Einträge von Windows manipuliert, ist nichts neues (siehe Linkliste am Artikelende). Meist wird dies genutzt, um Werbung (Ads) beim Surfen im Browser per injiziertes JavaScript einzublenden.
(Gefälschte Warnung – Quelle: ESET)
Diese Umleitungen auf fremde DNS-Server (DNS-Hijacking) könnten aber auch auf infizierte Webseiten weiterleiten, die Schadsoftware auf das System des Nutzers installiert. Oder es werden gefälschte Warnungen (wie oben) eingeblendet, um den Nutzer zu erschrecken und auf dubiose Supportseiten zu leiten.
Hidden DNS-Einträge durch Malware
Im Artikel Crouching Tiger, Hidden DNS wird nun eine spezielle Variante des DNS-Hijacking – DNSUnlocker – beschrieben. Auch DNSUnlocker ist nicht neu, sondern seit längerem bekannt. Interessant finde ich aber den Ansatz, mit dem die DNSUnlocker-Variante die Manipulation verschleiert.
Die DNS-Einstellungen von Windows lassen sich in den Eigenschaften einer TCP-IP-Verbindung des Netzwerks abrufen (Netzwerk- und Freigabecenter – Adaptereinstellungen verändern, dann den Netzwerkadapter per Doppelklick anwählen und in den Eigenschaften auf der Registerkarte Netzwerk das IPV4-Protokoll per Doppelklick anwählen). Dann sollte folgende Registerkarte erscheinen.
Normalerweise ist dort die Option DNS-Serveradresse automatisch beziehen markiert, so dass der vom Router oder vom Provider vorgegebene DNS-Server verwendet wird. Man kann aber auch einen bevorzugten und einen alternativen DNS-Server eintragen. Über Erweitert lassen sich sogar mehrere DNS-Server vorgeben.
Anzeige
Ein Windows-Darstellungsfehler und die Folgen
Im ESET-Blog-Beitrag wird nun berichtet, dass der DNSUnlocker den DNS-Eintrag in der Registrierung unter:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\Interfaces\
ganz geschickt manipuliert. Normalerweise werden die Adressen der DNS-Server als Liste, getrennt durch Kommas, in der Form 192.168.1.21,192.168.1.22 eingetragen. Und über die Registerkarten der Netzwerkeigenschaften geht auch nichts anderes. Die DNSUnlocker-Variante verwendet aber ein Leerzeichen als Blank. Das hat drastische Konsequenzen: Windows kann im Netzwerk beide DNS-Adressen trotzdem verwenden. Allerdings schlägt die Anzeige der DNS-Einträge auf der Registerkarte Allgemein fehl – ESET hat ein Beispiel gepostet.
(Quelle: ESET)
Während auf der Registerkarte Allgemein eine DNS-Server-Adresse angezeigt wird, zeigt die Registerkarte DNS, dass in Wahrheit zwei andere DNS-Server-Einträge am Anfang der DNS-Server-Adressliste stehen. Diese werden dann von Windows bevorzugt zur Namensauflösung verwendet. Die wahren DNS-Einträge werden also verschleiert.
Man kann die fehlerhaften DNS-Einträge auf der Registerkarte DNS leicht über eine Schaltfläche löschen. Aber der von der Malware verwendete Trick funktioniert nur, weil in Windows zwei unterschiedliche Implementierungen zur Anwendung und Anzeige der DNS-Einträge verwendet werden.
Verwendung in MSIL/Adware.CloudGuard.C
Diese Manipulation wurde von ESET bei der MSIL/Adware.CloudGuard.C-Adware gefunden, die seit Februar 2016 auftaucht. Die Malware kommt meist im Beifang mit kostenloser Software auf das Windows-System.
ESET hat diese Entdeckung am 10. Mai 2016 an Microsoft gemeldet und das Problem wurde vom Microsoft Security Response Center (MSRC) bestätigt.
Einen Patch wird es wohl nicht so fix geben, weil Microsoft der Meinung ist, dass das Problem nicht so gravierend sei und Registrierungseinträge nur mittels administrativer Berechtigungen gesetzt werden können. Möglicherweise wird das Ganze zukünftig mit neuer Software mal gefixt.
DNSUnlocker aus Windows entfernen
Generelle Hinweise, um DNSUnlocker aus Windows und aus dem Browser zu entfernen, finden sich z.B. hier, hier und hier. Und dieser Beitrag adressiert die modifizierte Variante dnsvail.exe, die von ADwCleaner erkannt und beseitigt wird. Das Tool Spyhunter sollte man imho nicht einsetzen, sondern eher auf den AdwCleaner setzen. Die Artikel erwähnen die manipulierten DNS-Einträge nicht. Man sollte also im Nachgang noch die DNS-Einträge auf der Registerkarte DNS – gemäß meinen obigen Hinweisen – überprüfen.
Ähnliche Artikel:
Malware Trojan.DNSChanger umgeht Powershell-Restrictionen
DNS-Changer Malware bedroht 20.000 deutsche Internet-Nutzer
2015
Pingback: Anonymous
Ja das finde ich auch immer sehr interessant wie Malware vorgeht und wo das überall drauf zugreift, aus dem Grund lese ich auch immer heise.de/security mit.