Новая угроза для служб DNS в локальных сетях

Эксперты по безопасности Интернета обнаружили новую опасную угрозу в виде еще одной вариации вируса, получившего название Trojan.Flush.M. При попадании внутрь локальной сети этот вирус создает фальшивый DHCP-сервер, который затем переключает на себя все запросы от клиентских машин. После этого клиентские ПК начинают использовать ложные DNS-серверы, поэтому часто попадают на поддельные веб-сайты, внешне неотличимые от настоящих.

Новая версия вируса отличается тем, что:
>> не указывает имя домена DNS в передаваемых параметрах – это резко затрудняет обнаружение фальшивого DHCP-сервера в сети
>> устанавливает время владения DHCP протокола на 1 час
>> он устанавливает адресата MAC на широковещательный адрес, быстрее чем адрес MAC клиента DHCP
>> поле опций не содержит опцию END, выполняемую опциями PAD
>> установлен Широковещательный BootP бит

Главная угроза нового вируса, по мнению Йоханнеса Ульриха (Johannes Ullrich) из центра предупреждения угроз SANS Internet Storm Center, состоит в компрометации систем, которые сами по себе не подвержены уязвимости. Дело в том, что фальшивый сервер использует протокол DHCP (Dynamic Host Configuration Protocol), изначально предназначенный для автоматической настройки IP-адресов и параметров службы разрешения имен DNS (Domain Name System) на клиентских машинах, которые не могут самостоятельно отличить настоящий DHCP-сервер от поддельного без специальной настройки. В результате зараженная машина передает остальным системам адрес DNS-сервера злоумышленников – это позволяет перенаправлять запросы к благонадежным сайтам на любые, в том числе потенциально опасные веб-сайты.

Для борьбы с вирусом Trojan.Flush.M можно жестко прописать адреса DNS-серверов своего провайдера на каждой клиентской машине – в этом случае клиентские машины будут обращаться к настоящему DNS-серверу независимо от параметров, которые им передал фальшивый DHCP-сервер. Тем не менее, такой подход фактически неприменим в больших организациях, где работают сотни и тысячи машин. Также можно просто заблокировать адреса 64.86.133.51 и 63.243.173.162, которые авторы вируса используют в качестве ложных DNS-серверов, но такой подход не даст серьезного выигрыша – уже следующая версия вируса наверняка сможет использовать новые адреса, в том числе по команде злоумышленников.