DNS Changer: malware per la manipolazione del Domain Name System

In questo articolo esamineremo dinamiche e caratteristiche di questo malware impiegato per la manipolazione del DNS.

1. DNS: cos’è e com’è strutturato
2. Come funziona il DNS e come rende possibile la connessione ai siti web
3. DNS Changer: come agisce il malware del Domanin Name System
4. Esempi concreti di DNS Changer malware
5. Roaming Mantis: il ritorno dei malware DNS Changer
6. Come mitigare il rischio

 DNS: cos’è e com’è strutturato

La rete DNS (Domain Name System) è organizzata in una struttura gerarchica che consente la risoluzione dei nomi di dominio in indirizzi IP. La sua organizzazione comprende diversi livelli e componenti, i quali collaborano per fornire un servizio affidabile di risoluzione dei nomi di dominio.

Di seguito sono descritti i principali componenti e livelli dell’organizzazione della rete DNS:

1. Server DNS radice: questi sono i server di livello superiore nella gerarchia del DNS. Esistono 13 server DNS radice nel mondo, identificati come le lettere da A a M. Questi sono responsabili di fornire informazioni sui server DNS autoritativi per le diverse estensioni di dominio di primo livello (TLD), come .com, .org, .net, .edu, ecc. I server DNS radice non contengono direttamente le informazioni sui nomi di dominio specifici, ma indicano quali server DNS sono autoritativi per i TLD
2. Server DNS autoritativi per i TLD: questi server sono responsabili di fornire informazioni sui nomi di dominio all’interno di un determinato TLD. Ad esempio, per il TLD .com, esistono diversi server DNS autoritativi gestiti da registri di dominio che contengono le informazioni specifiche sui nomi di dominio registrati con l’estensione .com
3. Server DNS di dominio: forniscono informazioni specifiche sui nomi di dominio all’interno di un determinato dominio. Ad esempio, il server DNS di un dominio come example.com conterrà le informazioni sui nomi di dominio specifici all’interno di example.com, come www.example.com o mail.example.com
4. Server DNS ricorsivi/resolver: si occupano di risolvere i nomi di dominio a livello di client. Quando un dispositivo invia una richiesta di risoluzione del nome di dominio, il server DNS ricorsivo svolge il ruolo di intermediario tra il dispositivo e i server DNS autoritativi appropriati. Il server ricorsivo esegue una serie di query per risolvere il nome di dominio richiesto e restituisce l’indirizzo IP corrispondente al dispositivo
5. Cache DNS: i server DNS, sia ricorsivi che autoritativi, mantengono una cache temporanea delle risposte alle query DNS. Questa cache consente di ridurre il carico di traffico e accelerare la risoluzione dei nomi di dominio. Quando una richiesta viene effettuata, il server DNS controlla prima nella sua cache se ha già una risposta memorizzata. Se la risposta è presente nella cache, viene restituita immediatamente, evitando di eseguire una nuova query

Questa struttura gerarchica distribuita del DNS consente di gestire in modo efficiente il grande volume di richieste di risoluzione in tutto il mondo.

Ogni componente svolge un ruolo specifico, contribuendo al corretto funzionamento e alla scalabilità del sistema DNS.

Come funziona il DNS e come rende possibile la connessione ai siti web

Il sistema DNS funziona come un grande elenco telefonico di Internet, in cui i nomi di dominio sono associati agli indirizzi IP corrispondenti.

Ecco come funziona in concreto:

1. Risoluzione dei nomi: quando digiti un nome di dominio nel tuo browser, ad esempio www.example.com, il tuo dispositivo invia una richiesta al server DNS locale o al server DNS del tuo provider di servizi Internet (ISP). Questo server DNS viene configurato automaticamente o assegnato dal tuo router o dal tuo ISP
2. Caching: il server DNS locale, o resolver, controlla se ha già in memoria il mapping del nome di dominio richiesto. Se il mapping è già presente nella cache del resolver, viene restituito direttamente all’utente senza ulteriori richieste
3. Query ai server DNS radice: se il resolver non ha il mapping del nome di dominio in cache, inizia la risoluzione del nome di dominio inviando una richiesta al server DNS radice
4. Server DNS autoritativi: i server DNS radice non contengono direttamente le informazioni sui nomi di dominio specifici. Invece, forniscono l’informazione su quali server DNS sono autoritativi per le diverse estensioni di dominio (ad esempio, .com, .org, .net).
5. Risoluzione iterativa: dopo aver ricevuto le informazioni sui server DNS autoritativi, il resolver contatta direttamente il server DNS autoritativo per il dominio richiesto. Il resolver invia una query a uno dei server DNS autoritativi per ottenere l’indirizzo IP corrispondente al nome di dominio
6. Risposta e caching: il server DNS autoritativo invia la risposta al resolver, che a sua volta invia la risposta al dispositivo dell’utente. La risposta contiene l’indirizzo IP corrispondente al nome di dominio richiesto. Il resolver memorizza anche questa risposta nella sua cache, in modo che le future richieste per lo stesso nome di dominio possano essere gestite più rapidamente.
7. Connessione all’indirizzo IP: una volta che il dispositivo dell’utente ha ricevuto l’indirizzo IP dal server DNS, può stabilire una connessione diretta con il server corrispondente all’indirizzo IP. In questo modo, può richiedere e visualizzare il contenuto desiderato del sito web.

Sebbene possa apparire lungo e macchinoso, il processo appena descritto avviene in background in pochi millisecondi, consentendo agli utenti di accedere a siti web utilizzando nomi di dominio anziché dover ricordare gli indirizzi IP numerici associati.

DNS Changer: come agisce il malware del Domain Name System

Il DNS changer si riferisce a un software che consente di modificare le impostazioni del Sistema di Nomi di Dominio (DNS) su un dispositivo o una rete.

In alcuni casi, infatti, i DNS changer possono essere utili strumenti per consentire agli utenti di:

• personalizzare le proprie impostazioni DNS
• utilizzare server DNS alternativi per motivi di prestazioni, sicurezza o bypassare restrizioni

Tuttavia, di questo strumento può essere impiegato anche a fini illeciti. In tali contesti prende il nome di DNS Changer malware.

In questo caso, il software dannoso che altera le impostazioni DNS di un dispositivo senza il consenso dell’utente.

Questo tipo di malware è progettato per modificare le impostazioni del Sistema di Nomi di Dominio e indirizzare il traffico Internet verso server DNS controllati dagli attaccanti, anziché verso i server DNS legittimi.

Il DNS changer malware può avere diverse finalità dannose, tra cui:

1. Modifica delle impostazioni DNS: il malware modifica le impostazioni DNS del dispositivo infetto senza il consenso dell’utente. Di solito, ciò comporta la sostituzione dei server DNS legittimi con server DNS controllati dagli attaccanti. Questa modifica fa sì che tutte le richieste DNS effettuate dal dispositivo siano indirizzate verso i server DNS malevoli
2. Reindirizzamento del traffico: i server DNS controllati dagli attaccanti possono essere configurati per reindirizzare il traffico Internet verso destinazioni non volute. Ad esempio, l’utente potrebbe essere reindirizzato verso siti web fasulli, contenuti dannosi o pagine di phishing progettate per rubare informazioni personali
3. Blocco di siti web: il malware può essere progettato per bloccare l’accesso a determinati siti web o servizi specifici. Ciò può essere fatto attraverso la modifica delle risposte DNS, impedendo al dispositivo di raggiungere gli indirizzi IP corretti relativi ai portali richiesti
4. Furto di informazioni: alcuni tipi di DNS changer malware possono essere progettati per raccogliere informazioni sensibili dell’utente, come credenziali di accesso, dati finanziari o altre informazioni personali. Queste informazioni possono essere utilizzate per scopi illeciti come il furto di identità o l’accesso fraudolento ad account online
5. Persistenza: alcuni malware di questo tipo cercano di persistere sul sistema infetto in modo da sopravvivere ai riavvii del dispositivo e mantenere le impostazioni DNS modificate. Possono adottare misure per nascondersi dai rilevamenti antivirus e dalle soluzioni di sicurezza

Esempi concreti di DNS Changer malware

Analizziamo ora alcuni esempi concreti di malware DNS Changer:

1. DNSChanger: scoperto per la prima volta nel 2007, rappresenta uno degli esempi di DNS Changer più diffusi di sempre. Modifica le impostazioni DNS sul dispositivo infetto per indirizzare il traffico verso server DNS malevoli. In questo modo, gli attaccanti possono reindirizzare gli utenti a siti web fasulli, diffondere malware o raccogliere informazioni personali
2. Zlob Trojan: questo Trojan è spesso distribuito attraverso siti web compromessi o download di software non attendibili. Una volta installato sul sistema, modifica le impostazioni DNS per reindirizzare il traffico a siti web dannosi. Può anche visualizzare annunci pubblicitari indesiderati o eseguire altre attività fraudolente
3. Alureon/TDSS: originariamente progettato come rootkit per il furto di informazioni, ma in alcuni casi può anche modificare le impostazioni DNS. Utilizza tecniche sofisticate per nascondersi nel sistema operativo e alterare il funzionamento del DNS per reindirizzare il traffico a server controllati dagli attaccanti
4. DNS Unlocker: si tratta di un adware dannoso che può modificare le impostazioni DNS per visualizzare annunci pubblicitari indesiderati. Può essere distribuito tramite software bundle o download non affidabili e può causare la visualizzazione di un’elevata quantità di annunci invadenti durante la navigazione

Roaming Mantis: il ritorno dei malware DNS Changer

Secondo gli esperti di sicurezza di Kaspersky, i criminali informatici stanno utilizzando una nuova tecnica di DNS Changer per diffondere malware attraverso router Wi-Fi pubblici.

Questo metodo viene utilizzato in una campagna malware nota come Roaming Mantis e agisce principalmente infettando gli smartphone Android con il malware Wroba.o.

La ricerca di Kaspersky ha confermato che i primi casi di compromissione legati ai DNS Changer sono stati individuati in Corea del Sud, ma è molto probabile che questi attacchi si diffonderanno presto anche in Occidente.

A ulteriore conferma della gravità del problema, Kaspersky ha rilevato che il più alto tasso di rilevamento del malware Wroba.o è stato registrato in Francia, Giappone e Stati Uniti nel periodo settembre-dicembre 2022.

I criminali informatici che utilizzano questa nuova minaccia

1. individuando l’indirizzo IP del router per verificarne il modello
2. sovrascrivendo le impostazioni DNS dei dispositivi

Questo metodo è stato utilizzato per indirizzare gli utenti a pagine web false tramite il dirottamento DNS, al fine di reindirizzare le vittime a siti fasulli.

L’infezione permette così agli aggressori di diffondere malware mobile, il quale che svolge una serie di attività dannose, tra cui:

• gestire tutte le comunicazioni del dispositivo tramite il router infetto
• reindirizzare la connessione a host dannosi
• disabilitare gli aggiornamenti dei prodotti di sicurezza

Come mitigare il rischio

Consideriamo, ora, alcuni segnali per rilevare un eventuale avvelenamento del DNS.

Innanzitutto, fai attenzione agli errori SSL o all’assenza del protocollo SSL su un sito web. L’SSL (Secure Sockets Layer), noto anche come TLS, è un protocollo di sicurezza che crittografa le informazioni tra il browser e il server web e conferma l’identità del server.

Se si notano errori SSL o l’assenza di SSL su un sito web, questo potrebbe indicare che il sito stesso è stato compromesso.

In secondo luogo, se noti un aumento degli annunci indesiderati e finestre di pop-up o se vieni reindirizzato a pagine contenenti annunci, potrebbe essere un segnale di malware come il DNS Changer.

Controllare le impostazioni DNS del tuo router è un altro modo per individuare la presenza di malware di cambio DNS. La maggior parte dei router ha una pagina di impostazioni in cui è possibile definire i server DNS. Verifica le impostazioni DNS nel router e rimuovi eventuali impostazioni sconosciute o sospette.

Infine, utilizza soltanto connessioni Internet sicure. In caso di connessioni a reti Wi-Fi pubbliche o non affidabili, è consigliabile utilizzare una connessione VPN per crittografare il traffico di rete e proteggerti da possibili attacchi di manipolazione DNS o intercettazione del traffico.