{"id":178058,"date":"2016-06-07T01:21:00","date_gmt":"2016-06-06T23:21:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=178058"},"modified":"2024-03-14T16:28:25","modified_gmt":"2024-03-14T15:28:25","slug":"insides-dnsunlocker-malware-nutzt-windows-fehler","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/06\/07\/insides-dnsunlocker-malware-nutzt-windows-fehler\/","title":{"rendered":"Insides: DNSUnlocker-Malware nutzt Windows-Fehler"},"content":{"rendered":"

Bei ESET findet sich im Sicherheitsblog ein relativ neuer Beitrag, der sich mit dem Thema DNS-\u00c4nderung durch Malware befasst. Dabei wird ein Implementierungsfehler in Windows beschrieben, den die Malware ausgenutzt, um die DNS-\u00c4nderung zu verschleiern (Ph\u00e4nomen \"Hidden DNS\"). Ich fand die inhaltliche Beschreibung ganz interessant, da sie verr\u00e4t, wie die Malware vorgeht, um eine Entdeckung zu erschweren.<\/p>\n

<\/p>\n

Die Sache mit dem DNS<\/h2>\n

\"\"Das Domain Name System<\/a> (DNS) sorgt daf\u00fcr, dass beim Aufruf von Webseiten wie www.borncity.com<\/a> die Anfrage im Internet auf die richtige IP-Adresse mit dem Webserver landet. Hierzu werden von Internet-Providern und anderen Institutionen DNS-Server betrieben, deren IP-Adressen in den Windows Netzwerkeinstellungen eingetragen sind.<\/p>\n

\u2026 und die Risiken<\/h2>\n

Nun kann Malware die DNS-Einstellungen so ver\u00e4ndert, dass alle Webseitenanfragen \u00fcber eigene Server geleitet werden. Malware oder unerw\u00fcnschte Software (Potentially Unwanted Applications, PUA), die die DNS-Eintr\u00e4ge von Windows manipuliert, ist nichts neues (siehe Linkliste am Artikelende). Meist wird dies genutzt, um Werbung (Ads) beim Surfen im Browser per injiziertes JavaScript einzublenden.<\/p>\n


\n(Gef\u00e4lschte Warnung \u2013 Quelle: ESET)<\/p>\n

Diese Umleitungen auf fremde DNS-Server (DNS-Hijacking) k\u00f6nnten aber auch auf infizierte Webseiten weiterleiten, die Schadsoftware auf das System des Nutzers installiert. Oder es werden gef\u00e4lschte Warnungen (wie oben) eingeblendet, um den Nutzer zu erschrecken und auf dubiose Supportseiten zu leiten.<\/p>\n

Hidden DNS-Eintr\u00e4ge durch Malware<\/h3>\n

Im Artikel Crouching Tiger, Hidden DNS<\/a> wird nun eine spezielle Variante des DNS-Hijacking \u2013 DNSUnlocker \u2013 beschrieben. Auch DNSUnlocker ist nicht neu, sondern seit l\u00e4ngerem bekannt. Interessant finde ich aber den Ansatz, mit dem die DNSUnlocker-Variante die Manipulation verschleiert.<\/p>\n

Die DNS-Einstellungen von Windows lassen sich in den Eigenschaften einer TCP-IP-Verbindung des Netzwerks abrufen (Netzwerk- und Freigabecenter \u2013 Adaptereinstellungen ver\u00e4ndern, dann den Netzwerkadapter per Doppelklick anw\u00e4hlen und in den Eigenschaften auf der Registerkarte Netzwerk<\/em> das IPV4-Protokoll per Doppelklick anw\u00e4hlen). Dann sollte folgende Registerkarte erscheinen.<\/p>\n

<\/p>\n

Normalerweise ist dort die Option DNS-Serveradresse automatisch beziehen <\/em>markiert, so dass der vom Router oder vom Provider vorgegebene DNS-Server verwendet wird. Man kann aber auch einen bevorzugten und einen alternativen DNS-Server eintragen. \u00dcber Erweitert <\/em>lassen sich sogar mehrere DNS-Server vorgeben.<\/p>\n

Ein Windows-Darstellungsfehler und die Folgen<\/h3>\n

Im ESET-Blog-Beitrag wird nun berichtet, dass der DNSUnlocker den DNS-Eintrag in der Registrierung unter:<\/p>\n

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\
\nServices\\Tcpip\\Parameters\\Interfaces\\<\/p>\n

ganz geschickt manipuliert. Normalerweise werden die Adressen der DNS-Server als Liste, getrennt durch Kommas, in der Form 192.168.1.21,192.168.1.22 eingetragen. Und \u00fcber die Registerkarten der Netzwerkeigenschaften geht auch nichts anderes. Die DNSUnlocker-Variante verwendet aber ein Leerzeichen als Blank. Das hat drastische Konsequenzen: Windows kann im Netzwerk beide DNS-Adressen trotzdem verwenden. Allerdings schl\u00e4gt die Anzeige der DNS-Eintr\u00e4ge auf der Registerkarte Allgemein <\/em>fehl \u2013 ESET hat ein Beispiel gepostet.<\/p>\n


\n(Quelle: ESET)<\/p>\n

W\u00e4hrend auf der Registerkarte Allgemein <\/em>eine DNS-Server-Adresse angezeigt wird, zeigt die Registerkarte DNS<\/em>, dass in Wahrheit zwei andere DNS-Server-Eintr\u00e4ge am Anfang der DNS-Server-Adressliste stehen. Diese werden dann von Windows bevorzugt zur Namensaufl\u00f6sung verwendet. Die wahren DNS-Eintr\u00e4ge werden also verschleiert.<\/p>\n

Man kann die fehlerhaften DNS-Eintr\u00e4ge auf der Registerkarte DNS <\/em>leicht \u00fcber eine Schaltfl\u00e4che l\u00f6schen. Aber der von der Malware verwendete Trick funktioniert nur, weil in Windows zwei unterschiedliche Implementierungen zur Anwendung und Anzeige der DNS-Eintr\u00e4ge verwendet werden.<\/p>\n

Verwendung in MSIL\/Adware.CloudGuard.C<\/h3>\n

Diese Manipulation wurde von ESET bei der MSIL\/Adware.CloudGuard.C-Adware gefunden, die seit Februar 2016<\/a> auftaucht. Die Malware kommt meist im Beifang mit kostenloser Software auf das Windows-System.<\/p>\n

ESET hat diese Entdeckung am 10. Mai 2016 an Microsoft gemeldet und das Problem wurde vom Microsoft Security Response Center (MSRC) best\u00e4tigt.<\/p>\n

Einen Patch wird es wohl nicht so fix geben, weil Microsoft der Meinung ist, dass das Problem nicht so gravierend sei und Registrierungseintr\u00e4ge nur mittels administrativer Berechtigungen gesetzt werden k\u00f6nnen. M\u00f6glicherweise wird das Ganze zuk\u00fcnftig mit neuer Software mal gefixt.<\/p>\n

DNSUnlocker aus Windows entfernen<\/h3>\n

Generelle Hinweise, um DNSUnlocker aus Windows und aus dem Browser zu entfernen, finden sich z.B. hier<\/a>, hier<\/a> und hier<\/a>. Und dieser Beitrag adressiert die modifizierte Variante dnsvail.exe<\/em>, die von ADwCleaner erkannt und beseitigt wird. Das Tool Spyhunter sollte man imho nicht einsetzen, sondern eher auf den AdwCleaner setzen. Die Artikel erw\u00e4hnen die manipulierten DNS-Eintr\u00e4ge nicht. Man sollte also im Nachgang noch die DNS-Eintr\u00e4ge auf der Registerkarte DNS<\/em> – gem\u00e4\u00df meinen obigen Hinweisen – \u00fcberpr\u00fcfen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMalware Trojan.DNSChanger umgeht Powershell-Restrictionen<\/a>
\nDNS-Changer Malware bedroht 20.000 deutsche Internet-Nutzer<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Bei ESET findet sich im Sicherheitsblog ein relativ neuer Beitrag, der sich mit dem Thema DNS-\u00c4nderung durch Malware befasst. Dabei wird ein Implementierungsfehler in Windows beschrieben, den die Malware ausgenutzt, um die DNS-\u00c4nderung zu verschleiern (Ph\u00e4nomen \"Hidden DNS\"). Ich fand … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[5032,4328,5031],"class_list":["post-178058","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-dnsvail-exe","tag-sicherheit","tag-windows-dnsunlocker"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/178058","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=178058"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/178058\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=178058"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=178058"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=178058"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}