 |
|
A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos |
 | Ataques de envenenamento de cache DNS (DNS cache poisoning)Alerta do CAIS 05042005 [CAIS, 05.04.2005-16:10, revisão 01] O CAIS está acompanhando desde 03/03/05 relatos do SANS ISC referentes a sucessivos ataques de evenenamento de cache DNS (DNS cache poisoning) que estão redirecionando usuários para sites WWW contendo malware. No primeiro ataque, registrado em 22/02/05, as vítimas foram redirecionadas para três servidores diferentes: 217.160.169.87, 207.44.240.79 e 216.127.88.131. Os domínios correspondentes aos servidores foram identificados como: www.7sir7.com, 123xx1.com e abx4.com. Todos os endereços acima correspondem a servidores UNIX comprometidos. O atacante colocou em tais servidores dois exploits para o Internet Explorer, de modo que se os usuários fossem redirecionados para estes servidores e o browser estivesse vulnerável, a vítima seria infectada com um programa spyware, que basicamente é um programa que coleta informações privadas em uma estação. No dia 25/03/2005 foi reportada a existência de dois servidores DNS maliciosos redirecionando usuários (222.47.183.18 e 222.47.122.203). Estes servidores estavam redirecionando os usuários para os próprios servidores, onde havia uma página sobre venda de medicamento. Neste segundo ataque não foi encontrada nenhuma evidência de malware, então acredita-se que trata-se do trabalho fruto de um spammer. Alguns dias depois o SANS registrou um novo ataque, ocorrido entre 25/03/2005 e 01/04/2005. Tudo indica que este segundo ataque tem relação com o primeiro, visto que possui o mesmo propósito de instalar um programa spyware. Desta vez os servidores DNS forneceram os seguintes endereços: 209.123.63.168, 64.21.61.5, 205.162.201.11. Através de análises em máquinas comprometidas, foi verificado também que domínios de alto nível (.com, por exemplo) foram redirecionados, o que leva a um alto índice de redirecionamento para diversos sub-domínios (ex: cnn.com, redhat.com, officeupdate.com). Os arquivos de exploit observados nas máquinas comprometidas foram:
Estes programas exploram uma vulnerabilidade divulgada pelo CAIS em Janeiro (consulte a seção "Mais Informações"). O spyware instalado pelo exploit de Internet Explorer foi identificado como:
Apesar das investigações ainda não terem sido concluídas, o CAIS alerta do perigo que este ataque representa e da necessidade de efetuar alterações nos servidores DNS do Windows NT4 e Windows 2000. Assinaturas do IDS Snort A seguir, uma assinatura válida para o IDS Snort, de modo a detectar o ataque em andamento. alert udp $EXTERNAL_NET 53 -> $HOME_NET any (msg:"com DNS cache poison";content:!"TLD-SERVERS"; nocase; offset:10; depth:50; content:"|c0|";content:"|00 02|"; distance:1; within:2;byte_jump:1,-3,relative,from_beginning; content:"|03|com|00|"; nocase;within:5; classtype:misc-attack; sid:1600; rev:3;) As regras Bleeding Snort ja foram atualizadas para detectar este tipo de ataque. Elas estão em: O CAIS tem interesse em obter alertas do snort, assim como dumps dos pacotes, no caso de detecção de tráfego correspondente à regra enviada acima. Favor enviar os logs para o endereço cais@cais.rnp.br. Sistemas afetados:
Correções disponíveis: Mais informações: O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. O CAIS Alerta também é oferecido no formato RSS/RDF: |  Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 |
