新型DNSChanger
こんばんは。bassetです。
今週は『技術ネタ』です。
その前にフットサルネタを書かせてください。
TAFSフットサルチーム始動に向けて準備中です。
現状の計画では、京王線武蔵野台にある『府中スポーツガーデン』を活動のメイン場所にし、秋に開催されるTJK事業所対抗フットサル大会出場を目指してやっていく予定です。
大会はやはり勝負ですので、なんだかんだと白熱して楽しいですよ!
いい運動になりますので、ちょっと体動かしたいなぁとかフットサルやってみようかな?と思った方はご連絡ください。
よろしくお願い致します。
で、技術ネタです。
今回はウィルス情報です。
間違った部分があれば、ご指摘ください。m(__)m
≪ウィルス:新型DNSChanger≫
【DNSChangerって何??】
偽のDNSサーバーを利用させて、フィッシグ・サイトへ誘導するのが目的のウィルス。
【在来型と新型の違いは??】
<在来型DNSChanger>
感染したPCのローカルに保存されたhostsファイルなどを書き換えて、感染したPCに偽のDNSサーバを使わせる。
<新型のDNSChanger>
新型は感染したPCにDHCPサーバー機能を与え、同じLAN内の別のPCに対して偽のDNSサーバーを使わせるように動作する。
別のPCに感染する自己増殖能力はない。DHCPサーバー機能だけでなくNWドライバも書き換える。
⇒感染していないPCが被害にあう。
現在の感染例:Zlobウィルスと一緒にインストールされる。
「Zlob??」
おもに海外のアダルト動画などを配信するサイトにアクセスした時に感染する。
「具体的には?」
配信されている動画を再生しようとすると、『WindowsMediaPlayerの動画コーデックが不足している』とエラーが表示される。
そのサイト内にコーデックをインストールする為のリンクがあり、それをクリックすると感染する。
【実際にどんな動作をするのか?】
①感染したPCにDHCPサーバー機能が付与され、既存のNWドライバとウィルスのNWドライバが入れ替わる。
②感染したPCがNWに対してARP要求を出し、NWのアドレス情報を入手する。
③収集したアドレス情報を元にDHCPサーバーとして稼働を始める。
④感染していないPCが、DHCP DISCOVERパケットを送信。
⑤感染していないPCが、感染したPCからのDHCP OFFERパケットを正規DHCPサーバーからのDHCP OFFERパケットより早く受けとってしまう。
(正規DHCPからちゃんとDHCP OFFERを受け取れれば被害を免れる)
⑥感染したPCは②で入手した正しいアドレス情報と共に偽のDNSサーバーの情報を感染していないPCに渡す。
⑦感染していないPCが偽のDNSサーバーを参照して名前解決を行う為、フィッシングサイトへ誘導されてしまう。
⇒感染していないPCは、正規のDHCP取得動作でDNS情報を得る為、ウイルスソフトでは防げない。
【どうやって防ぐ??】
①ファイアーウォールを使って外部のDNSサーバーの利用を制限すること。
②ActiveDirectoryによるグループポリシーを使い、クライアント上で自由にデバイスドライバをインストールできないようにする。
③検疫NWを構築する。(スイッチのポート認証やDHCPサーバによる認証など)
④DHCPスヌーピング機能を持ったスイッチの導入。
⑤DHCPの利用を辞めて、固定IPアドレスに変更する。
・・・だそうです。
報告例のサイトだけからなら、見れないようにWebフィルタリングを使用してもいい気がします。
でも、最終的な防御にはならないですね(・・;
以上でした。では。