Archivo

Archivo para Julio, 2012

DNSChanger , algunas nueces

Miércoles, 11 de Julio de 2012 Comentarios desactivados

 

Con el problema de seguridad de DNSChanger, ha habido mucha difusión mediatica y se indicaba que para muchos usuarios el día 9 de Julio iba a ser el cataclismo, al no funcionarles correctamente su conexión a Internet, en http://www.dcwg.org/ hay mucha más información sobre todo esto.

El problema venía siendo arrastrado desde hace mucho tiempo ya que muchos equipos de todo el mundo habían sido infectados y el “virus/gusano/troyano,etc” había cambiado los DNS para apuntar a unos controlados por los atacantes, que aprovechaban las consultas para falsear las consultas, de forma que podían redigir a voluntad las consultas de DNS, por ejemplo haciendo que al buscar www.tubanco.es fueras a otra dirección de internet.

Desde  finales del año pasado el FBI intervino estos servidores y todo el tráfico de DNS era respondido correctamente , pero el mandado judicial acababa este 9 de Julio, por lo que desde RedIRIS se planteo mitigar el problema interceptando las consultas a los servidores que iban a dejar de funcionar y poniendo nosotros un servidor que respondiera (y registrara) las consultas.

Al final desde luego ha habido mucho ruido pero pocas “nueces”, ya que al final había menos de 15 equipos infectados en toda la red de RedIRIS (unos 2 Millones de direcciones IP ), por lo que no parece significativo el número de infecciones.

Gracias a tener registrado las consultas que hacen las máquinas sin embargo hemos podido encontrar algunas “nueces” interesantes como las siguientes:

Un equipo todavía infectado por un conficker.

Conficker es un gusano con más de dos años de actividad que se intenta conectar periodicamente a un equipo para recibir instrucciones, los  nombre de los equipos a los que se intenta conectar se  generan de forma pseudo-aleatoria cada día ,  en http:// confickerworkinggrou.org hay más información incluyendo unas gráficas sobre el número de infecciones que se detectan cada día. ( http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionTracking  )

Viendo las consultas se se aprecia una máquina haciendo consultas al DNS  buscando dominios “bastante raros” (la IP origen se ha cambiado a AAA.BB.CC.144 ).
2012-07-05 19:48:55.400426 IP AAA.BB.CC.DDD.1025 > 85.255.113.118.domain:61962+ A? zcgqlzyo.ws. (29)
2012-07-05 19:49:00.556635 IP AAA.BB.CC.DDD.1025 > 85.255.113.118.domain:59401+ A? lrgrbypi.com. (30)
2012-07-05 19:49:12.853223 IP AAA.BB.CC.DDD.1025 > 85.255.113.118.domain:19720+ A? kodutaunnpx.ws. (32)
2012-07-05 19:49:23.056254 IP AAA.BB.CC.DDD.1025 > 85.255.113.118.domain:40718+ A? cxxejithkhp.info. (34)
2012-07-05 19:49:28.227979 IP AAA.BB.CC.DDD.1025 > 85.255.113.118.domain: 8462+ A? zcrfcywrlh.biz. (32)
2012-07-05 19:49:38.430740 IP AAA.BB.CC.DDD.1025 > 85.255.113.118.domain: 40973+ A? ojbpb.net. (27)
.....
2012-07-06 09:37:48.887692 IP AAA.BB.CC.DDD.1025 > 85.255.113.118.domain: 8191+ A? ksccwristsl.com. (33)
2012-07-06 09:37:56.168755 IP AAA.BB.CC.DDD.1025 > 85.255.113.118.domain: 50429+ A? zakoeer.ws. (28)
2012-07-06 09:38:01.324965 IP AAA.BB.CC.DDD.1025 > 85.255.113.118.domain: 46588+ A? temvb.info. (28)
2012-07-06 09:38:06.574691 IP AAA.BB.CC.DDD.1025 > 85.255.113.118.domain: 19708+ A? bbiiz.ws. (26)
2012-07-06 09:38:11.777818 IP AAA.BB.CC.DDD.1025 > 85.255.113.118.domain: 4578+ A? dtvlrhl.info. (30)
2012-07-06 09:38:16.934003 IP AAA.BB.CC.DDD.1025 > 85.255.113.118.domain: 9185+ A? sclmyhiyxa.biz. (32)

Otro caso curioso  que aparece en los logs es este:

2012-07-09 19:31:28.150676 IP AAA.BB.CC.17.35627 > 67.210.14.61.domain: 19061+ MX? att.net. (25)
2012-07-09 19:31:28.270993 IP AAA.BB.CC.17.35634 > 67.210.14.62.domain: 64862+ A? scc-mailrelay.att.net. (39)
2012-07-09 19:31:28.481642 IP AAA.BB.CC.17.35656 > 67.210.14.61.domain: 13448+ MX? rocketmail.com. (32)
2012-07-09 19:31:28.550584 IP AAA.BB.CC.17.35662 > 67.210.14.62.domain: 51788+ MX? aol.com. (25)
2012-07-09 19:31:30.071473 IP AAA.BB.CC.17.35738 > 67.210.14.61.domain: 32104+ A? mx1.rog.mail.yahoo.com. (40)
2012-07-09 19:31:30.311212 IP AAA.BB.CC.17.35753 > 67.210.14.62.domain: 27165+ A? fpo.mail.dk. (29)
2012-07-09 19:32:23.634079 IP AAA.BB.CC.17.37220 > 67.210.14.62.domain: 20212+ MX? talktalk.net. (30)
2012-07-09 19:32:23.970319 IP AAA.BB.CC.17.37255 > 67.210.14.62.domain: 58452+ MX? kodel.com. (27)
2012-07-09 19:32:24.134301 IP AAA.BB.CC.17.37273 > 67.210.14.62.domain: 44514+ MX? vocollect.com. (31)
2012-07-09 19:32:24.853948 IP AAA.BB.CC.17.37339 > 67.210.14.62.domain: 39530+ MX? uchicago.edu. (30)
.....
2012-07-10 13:20:10.089107 IP AAA.BB.CC.17.49746 > 67.210.14.61.domain: 63686+ MX? yahoo.co.uk. (29)
2012-07-10 13:20:10.128946 IP AAA.BB.CC.17.49750 > 67.210.14.62.domain: 34710+ A? mx-eu.mail.am0.yahoodns.net. (45)
2012-07-10 13:20:12.159913 IP AAA.BB.CC.17.49762 > 67.210.14.61.domain: 64173+ MX? verizon.net. (29)
2012-07-10 13:20:12.239307 IP AAA.BB.CC.17.49766 > 67.210.14.62.domain: 27468+ MX? btinternet.com. (32)
2012-07-10 13:20:12.568931 IP AAA.BB.CC.17.49778 > 67.210.14.61.domain: 37659+ MX? wanadoo.fr. (28)
2012-07-10 13:20:13.268954 IP AAA.BB.CC.17.49782 > 67.210.14.62.domain: 31907+ MX? orange.fr. (27)
2012-07-10 13:20:13.429057 IP AAA.BB.CC.17.49796 > 67.210.14.61.domain: 64758+ MX? yahoo.com. (27)
2012-07-10 13:20:13.488950 IP AAA.BB.CC.17.49799 > 67.210.14.62.domain: 51148+ A? mta6.am0.yahoodns.net. (39)
2012-07-10 13:20:25.361551 IP AAA.BB.CC.17.49814 > 67.210.14.61.domain: 12389+ MX? sbcglobal.net. (31)

Donde se aprecia que el equipo, (que no es un servidor de correo) esta haciendo muchas consutas de DNS de tipo “MX”,  una análisis en mas detalle indica que este equipo, un Linux parece estar comprometido y se esta empleando para enviar SPAM.

También  posible “adivinar” si el equipo infectado en cuestión es un “Mac” e incluso si tiene el IPv6 activado o no, de otro de los equipos infectados:

2012-07-05 20:05:04.088957 IP AAA.BBB.CC.187.49974 > 85.255.115.155.domain: 41711+ PTR? b._dns-sd._udp.0.CC.BBB.AAA.in-addr.arpa. (58)
2012-07-05 20:05:04.089648 IP AAA.BBB.CC.187.61248 > 85.255.115.155.domain: 33128+ PTR? db._dns-sd._udp.0.CC.BBB.AAA.in-addr.arpa. (59)
2012-07-05 20:05:04.089887 IP AAA.BBB.CC.187.63188 > 85.255.115.155.domain: 54465+ TXT? cf._dns-sd._udp.0.CC.BBB.AAA.in-addr.arpa. (59)
2012-07-05 20:06:27.569295 IP AAA.BBB.CC.187.57867 > 85.255.115.155.domain: 4630+ PTR? 187.CC.BBB.AAA.in-addr.arpa. (45)
2012-07-05 20:06:27.609607 IP AAA.BBB.CC.187.62491 > 85.255.115.155.domain: 39982+ PTR? 8.3.9.b.9.d.e.f.f.f.f.d.e.1.a.f.b.0.0.0.8.1.e.4.Y.Y.Y.Y.X.X.X.X.ip6.arpa. (90)
2012-07-05 20:06:27.653437 IP AAA.BBB.CC.187.60475 > 85.255.115.155.domain: 62266+ PTR? 8.3.9.b.9.d.e.f.f.f.f.d.e.1.a.f.b.0.0.0.0.0.0.0.0.0.0.0.0.c.e.f.ip6.arpa. (90)
2012-07-05 20:06:27.679686 IP AAA.BBB.CC.187.59874 > 85.255.115.155.domain: 13440+ PTR? 1.195.168.192.in-addr.arpa. (44)
2012-07-05 20:06:27.695459 IP AAA.BBB.CC.187.52476 > 85.255.115.155.domain: 22310+ PTR? 1.124.168.192.in-addr.arpa. (44)

Se observa que el equipo hace muchas consultas vía DNS de tipo PTR y TXT a una zona “in-addr.arpa” algo especial , buscando por ahí son consultas típicas del protocolo “Bonjour” de Apple,  http://www.dns-sd.org/ ,  ( 4 primeras lineas ), además el equipo hace conexiones a zonas “ip6.arpa” , lo que indica que además tiene activado el IPv6  (siguientes dos lineas ) y por ultimo las dos ultimas lineas preguntando por la inversa dentro de un rango privado (192.168.124.1) parecen indicar que el equipo se encuentra detras de algún tipo de router / NAT .

 

Categories: Incidentes Tags: , ,