تهدید dns unlocker

Ariomehr
پست: 1
تاریخ عضویت: پنج‌شنبه اکتبر 01, 2015 1:28 am

پست توسط Ariomehr » پنج‌شنبه اکتبر 01, 2015 1:56 am

من از وایمکس مبین نت استفاده میکنم حدودا دو ماهه که این مشکل رو دارم بارها از روشهای مختلف پاکسازی استفاده کردم که تاثیرش موقتی بوده، در ضمن از اسمارت سکوریتی نسخه اصلی هم استفاده میکنم که نتونسته شناسایی کنه، وقتی به منبع تبلیغات اجباری و کوکی هایی که روی مرورگرم نصب میشه توجه کردم یکیشون توجهم رو جلب کرد click.sabavision.com که وقتی به سایت sabavision.com رفتم به یه سایت تبلیغاتی کلیکی که به ادعای خودشون با شرکتهای بزرگی همکاری دارن رسیدم
این مال ور یا ویروس هر چی هست توسط هکرهای شرکتهای تبلیغاتی داخلی نوشته شده، لطفا کسایی که این مشکل رو دارن به کوکی های مرورگر دقت کنند و ببینن همچین موردی تو کوکی های مرورگرشون هست یا نه؟ فکر کنم مرکز ماهر هم باید در جریان باشه و همینطور مدیران شرکت تبلیغاتی

Naficy
مدیر کل
پست: 1320
تاریخ عضویت: چهارشنبه آگوست 07, 2013 11:27 am

پست توسط Naficy » پنج‌شنبه اکتبر 01, 2015 10:00 am

[quote="علیرضا حسنی"]آقای نفیسی از کجا میشه مطمئن بود این کش داره سمت آی اس پی اتفاق میفته[/QUOTE]
سلام
متاسفانه تشخیص وجود این نوع کش‌ها (کش‌های transparent) خودش کمی تخصصی است، چه برسد به اینکه بخواهید محل کش را تشخیص دهید.
اما در فایل pcap ارسالی شما محل کش تقریبا ۴ هاپ از شما فاصله دارد و به همین علت با قطعیت خوبی داخل ISP است.
راه مطمئن این است که که به روشی اتصال را با TTL پایین انجام دهید، اما ابزار آماده مناسب برای این کار نمی‌شناسم که با آن بتوانید تست کنید.
۱- در مورد درخواست‌های مکرر، حدس من این است که ISP چندین سرور کش دارد و هر درخواست توسط یکی از این سرورها هندل می‌شود. احتمال دیگر (ضعیف‌تر) این است که بازه invalidate شدن کش کوتاه است (فرض کنید ۱۰ ثانیه) و به همین علت مرتبا کش خالی شده و فقط در مواردی که درخواست شما دقیقا بعد از یک درخواست خراب ارسال می‌شود مشکل پیش می‌آید.
۲- در مورد اسکریپت مخرب اگر دقت کنید این هدر وجود ندارد و سرور بدافزار nginx است. (مثلا pcap ارسالی قبلیتان را نگاه کنید، در یک اتصال HTTP که درخواست‌های مختلف برای ga.js و سایر جاوااسکریپت‌های google-analytics وجود دارد، تنها هدر مربوط به ga.js از سرور nginx استفاده کرده است و بقیه درخواست‌ها از سرور Golfe2 استفاده می‌کنند!)
۳- در این مورد اگر pcap داشته باشید بهتر می‌توان اظهار نظر کرد. اما اگر سناریوی وجود چند کش سرور (یا پایین بودن بازه invalidate شدن) را در نظر بگیرید، این اتفاق عجیب نیست و طبیعی است که برخی درخواست‌ها 404 شده و برخی از سرور گوگل یا بدافزار بیایند و ربطی به pragma: no-cache نداشته باشد.

علیرضا حسنی
پست: 25
تاریخ عضویت: سه‌شنبه سپتامبر 22, 2015 2:11 pm

پست توسط علیرضا حسنی » پنج‌شنبه اکتبر 01, 2015 4:03 pm

[quote] فکر کردین شرکتهای اینترنتی ایرانی چیزی بیشتر از بقال سر کوچه هستن ؟!!![/QUOTE]
والا چی میشه گفت، دوستمون هم اشاره کرد، بارها به پشتیبانی سرویس دهنده اینترنتش مسئله رو گوش زد کرده و اونها پیگیری خاصی کردن.


[quote]اما در فایل pcap ارسالی شما محل کش تقریبا ۴ هاپ از شما فاصله دارد و به همین علت با قطعیت خوبی داخل ISP است.[/QUOTE]
فقط یک سوال آقای نفیسی از کجا میشه تشخیص داد؟ طبیعتا باید از IP Header پکت ها این موضوع رو تشخیص داد، اما من چیزی که به فهم موضوع کمک کنه پیدا نکردم، سکوینس نامبرها و آیدنتیفایرها به نظر کمکی نمیکنه.



اجازه بدین یک جمع بندی کلی از مباحث مطرح شده تا اینجا داشته باشیم، با فرض بر این که مشکل از همین کش‌های transparent باشه (که در حال حاضر معقول ترین سناریوی مطرح هست)


1- عده ای از کاربران اینترنت در ایران آلوده به بدافزار DNS Unlocker شده اند. این نرم افزار با تغیر تنظیمات DNS کاربران، باعث میشه که مثلا آی پی 82.163.143.94 به جای آی پی اصلی www.google-analytics.com به کاربران برگردونده بشه.
2- مرورگر این دسته از کاربران اسکریپت های آلوده رو از 82.163.143.94 دریافت میکنن.
3- کش سرورهای ISP ایران بعضا پاسخ دریافت شده برای این قبیل درخواست ها رو بدون توجه به اصالت اون (بررسی آی پی مقصد) کش میکنن.
4- کاربر دیگه ای از ISP که سیستمش آلوده نیست درخواستی برای اسکریپت از www.google-analytics.com میکنه.
5- کش سرور ISP، پاسخ حاوی کد آلوده رو به کاربر بر میگردونه، و در واقع کاربران دیگه رو در معرض خطر قرار میده.

تبعات
متاسفانه با توجه به این ضعف امنیتی سناریو های تهدید متعدی بر علیه کاربران کشور مطرح میشه.

1- سناریوی تهدید با استفاده از بدافزار

در این سناریو مهاجم داخلی و یا خارجی با علم به وجود این نقصان امنیتی در اینترنت کشور، اقدام به تولید بد افزارهایی میکنه که در صورت اجرای اون در سیستم کاربر، مثلا درخواست هایی با سربرگ www.google.com به آی پی مهاجم مثلا 100.100.100.100 ارسال بشه، سرویس دهنده در آی پی مذکور به گونه ای تنظیم شده که به درخواست های دریافتی با سربرگ www.google.com پاسخ بده و این پاسخ میتونه حاوی کد های آلوده باشه. مانند سناریوی بالا پاسخ های آلوده در کش سرورها ذخیره شده و بسیاری از کاربران ایرانی گوگل در معرض خطر قرار میگیرن. (گوگل فقط یه نمونست این کار رو در مورد هر سایت دیگه ای میشه انجام داد)

دقت کنید در این سناریو، بد افزار تولیدی حتی نیازی نیست DNS قربانی رو تغییر بده لذا کشف چنین بدافزارهایی عملا خیلی خیلی پیچیده خواهد بود.

راه حل: اصلاح مکانیزم کش و یا حذف اون در سمت ISP ها

2- در سناریوی دوم بدون نیاز به انتشار هیچ گونه بدافزاری، هر هاپ و نود میانی در بک بون های اینترنت کشور (حد فاصل بین کاربر و مقصد مورد نظر مثل گوگل) توانایی این رو دارن به صورت غیر عامدانه و یا عامدانه در مواقع لزوم، نسبت به آلوده کردن محتوای وب گردی کاربران ایرانی اقدام کنن. البته ابن چیز جدیدی نیست و از قبل هم میدونستیم ولی فکر نمیکردیم به این سادگی قابل انجام باشه، اما حالا میبینیم که چقدر ساده میشه حمله کرد و چقدر مشکل میشه خود حمله و منشاء اون رو تشخیص داد

راه حل: نداره

saman
ناظم انجمن
پست: 2190
تاریخ عضویت: چهارشنبه آگوست 28, 2013 10:53 pm

پست توسط saman » پنج‌شنبه اکتبر 01, 2015 6:16 pm

با توجه به صحبت های شما بخش اندکی از کاربران میتوانند به روش های زیر موقتا خلاص شوند>>

How to remove DNS Unlocker virus from Chrome, Firefox and IE

http://malwareprotectioncenter.com/2015 ... -unlocker/

و البته بعید است حمله کننده ی فرضی بخواهد با بدافزار چنین روندی را پیاده سازی کند(اگر بدون بدافزار هم اینکار ممکن است)
چون احتمالا حمله کننده با دریایی از آنتی ویروس های متفاوت نصبی روی سیستم ها روبرو است که شانس موفقیت را پایین می آورند. norton-kaspersky-bitdefender- و....

پس قطعا اگر شرایط فراهم باشد(با توجه به توضیحات شما) قطعا حمله کننده مورد 2 را انتخاب میکند که مستقل از سیستم کاربر نهایی است.

چون سوادی در این موارد ندارم میپرسم. با وجود اینترنت سکیوریتی های پیشرفته کنونی آیا انجام روش اولی که آوردید(با استفاده از بدافزار) نیاز به جعل گواهینامه دیجیتال نیست؟
چطور ممکن است مثلا norton symantec فریب بخورد؟

saman
ناظم انجمن
پست: 2190
تاریخ عضویت: چهارشنبه آگوست 28, 2013 10:53 pm

پست توسط saman » پنج‌شنبه اکتبر 01, 2015 6:35 pm

البته اگر حمله کننده خارجی باشد حتما قبل از حمله با کشورهای صاحب کمپانی های قدرتمند امنیتی هماهنگ میکند!!!!!

--- ویرایش شده ---

شما اگر از طریق شبکه تور tor تست کنید چه نتیجه ای دارد؟ میتوان به داخلی یا خارجی بودن حمله پی برد؟

علیرضا حسنی
پست: 25
تاریخ عضویت: سه‌شنبه سپتامبر 22, 2015 2:11 pm

پست توسط علیرضا حسنی » پنج‌شنبه اکتبر 01, 2015 6:57 pm

[quote="saman"]با توجه به صحبت های شما بخش اندکی از کاربران میتوانند به روش های زیر موقتا خلاص شوند>>

How to remove DNS Unlocker virus from Chrome, Firefox and IE

http://malwareprotectioncenter.com/2015 ... -unlocker/

و البته بعید است حمله کننده ی فرضی بخواهد با بدافزار چنین روندی را پیاده سازی کند(اگر بدون بدافزار هم اینکار ممکن است)
چون احتمالا حمله کننده با دریایی از آنتی ویروس های متفاوت نصبی روی سیستم ها روبرو است که شانس موفقیت را پایین می آورند. norton-kaspersky-bitdefender- و....

پس قطعا اگر شرایط فراهم باشد(با توجه به توضیحات شما) قطعا حمله کننده مورد 2 را انتخاب میکند که مستقل از سیستم کاربر نهایی است.

چون سوادی در این موارد ندارم میپرسم. با وجود اینترنت سکیوریتی های پیشرفته کنونی آیا انجام روش اولی که آوردید(با استفاده از بدافزار) نیاز به جعل گواهینامه دیجیتال نیست؟
چطور ممکن است مثلا norton symantec فریب بخورد؟[/QUOTE]

سناریوی اول بدون بدافزار هم ممکنه، البته باید میزان موفقیت حمله مورد بررسی قرار بگیره.
مثلا من به عنوان مهاجم میخوام عین همین داستان رو دوباره اجرا کنم، اما اینبار به جای نمایش تبلیغات کار دیگه ای بکنم که تابلو نباشه و کاربر سریع متوجه نشه چیزی تغییر پیدا کرده.
یک هاست خارج کشور تهیه میکنم و روش یه وب سرور بالا میارم به آدرس آی پی مثلا 100.100.100.100
میام یه اسکریپتی مینویسم که پشت سر هم رکویست های پیاپی بده به آی پی 100.100.100.100 با هدر زیر

کد: انتخاب همه

GET /ga.js HTTP/1.1
Host: www.google-analytics.com
Connection: keep-alive
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.8
در سمت سرویس دهنده هر بار کد آلوده، به جای کد اصلی بر میگرده درست مثل کاری که DNS unLocker میکنه با این تفاوت که من اسکریپتی به صفحه اینجکت میکنم که ضمن اینکه کاری که میخوام انجام میده اما تابلو بازی در نیاره مثل نمایش تبلیغات
و منتظر میمونم تا یکی از پاسخ های آلوده توسط کش سرور کش بشه و دیگه تمام.
کاری که کردم این بوده که به جای اینکه منتظر باشم 10000 کاربر سیستمشون آلوده بشه و هر کدوم ساعتی یک ریکویست بفرستن، من خودم یک نفری ده هزار ریکویست در ساعت بفرستم. تقریبا شانس کش شدن در هر دو حالت برابر میشه. تکرار این کار در بازه های زمانی پشت سر هم این امکان رو بهم میده تا کاربران بیشتری رو آلوده کنم. فقط باید از داخل ایران این کار رو انجام بدم.
اون بحث بدافزار رو بیشتر برای مخفی بودن مهاجم مطرح کردم چون اگه به هر دلیلی اتک لو بره از رو آدرس آی پی سریع میشه تشخیص داد منبع حمله کی هست.

در صورت استفاده از بد افزار در سناریوی شماره 1، شانس اینکه آنتی ویروسی بتونه چنین حمله ای رو تشخیص بده خیلی پایینه، چون بدافزار هیچ حرکت مشکوکی نمیکنه و فقط ساعتی یک ریکویست میفرسته به یه آی پی. اصلا احتمال تشخیصش نزدیک به صفر درصده. و یه چیزی سوء تفاهم نشه اینجا بدافزار قرار نیست چیز خوفی باشه، همین اولتراسرف و سایفون و امثالهم که به شدت توسط کاربرا مورد استفاده هستن میتونه در این زمینه مورد استفاده قرار بگیره. یا چمیدونم یوتورنت و یا یه دیکشنری و یا هر چی دیگه.

در مورد سوال سومتون بحث جالبی رو مطرح کردید، دیدیم که در همین مورد اخیر dns unlocker حمله، به صورت هوشمندانه سرویسی از گوگل رو هدف قرار داده که نیازی یه ارتباط ssl نداره و از طرفی بسیار هم مورد استفاده است. خیلی از سایت ها از اون استفاده میکنن و کاربرای اون سایت ها هم در معرض خطر هستن. ولی در کل امکان حمله مشابه بر علیه ارتباط های ssl وجود نداره چون طبیعتا محتوای این ارتباط توسط کش سرور قابل مشاهده و ذخیره نیست.

[quote]البته اگر حمله کننده خارجی باشد حتما قبل از حمله با کشورهای صاحب کمپانی های قدرتمند امنیتی هماهنگ میکند!!!!![/QUOTE]
صد درصد تو سناریوی دوم نباید توقع داشته باشیم کسی دلش برای ما بسوزه.

Matin2005
پست: 3
تاریخ عضویت: دوشنبه سپتامبر 28, 2015 10:33 pm

پست توسط Matin2005 » جمعه اکتبر 02, 2015 1:57 pm

دوستانی که به این بدافزار آلوده شدند ، ایا سرعت لود سایت ها در سیستمشون پایین نیومده ؟؟؟
برای من خیلی تاثیر داشته ....

babak6262
پست: 2
تاریخ عضویت: سه‌شنبه سپتامبر 29, 2015 3:04 pm

پست توسط babak6262 » شنبه اکتبر 03, 2015 8:25 am

من يك ماهه درگيرم هر كاري كردم پاك نميشه هنوز راه حلي نيست؟

Naficy
مدیر کل
پست: 1320
تاریخ عضویت: چهارشنبه آگوست 07, 2013 11:27 am

پست توسط Naficy » شنبه اکتبر 03, 2015 4:48 pm

[quote="babak6262"]من يك ماهه درگيرم هر كاري كردم پاك نميشه هنوز راه حلي نيست؟[/QUOTE]
سلام
لطفا از روشی که در این تاپیک نوشته شده جهت حذف بدافزار کمک بگیرید:
روش حذف بدافزار DNS Unlocker
اگر مشکلی داشتید یک تاپیک جدا باز کرده و شرایط خود را دقیقتر تشریح کنید. (نوع ویندوز، مرورگر، راهکارهایی که انجام داده‌اید و مشکلی که باقیست)

Naficy
مدیر کل
پست: 1320
تاریخ عضویت: چهارشنبه آگوست 07, 2013 11:27 am

پست توسط Naficy » شنبه اکتبر 03, 2015 4:49 pm

[quote="Matin2005"]دوستانی که به این بدافزار آلوده شدند ، ایا سرعت لود سایت ها در سیستمشون پایین نیومده ؟؟؟
برای من خیلی تاثیر داشته ....
[/QUOTE]
سلام
احتمال کاهش سرعت بارگزاری سایت‌ها وجود دارد.
۱- کلید ویندوز را همزمان با R فشار دهید.
۲- عبارت زیر را تایپ و اجرا کنید:

کد: انتخاب همه

cmd /k "netsh interface ipv4 show dns"
۳- در صفحه ظاهر شده تنظیمات DNS را مشاهده می‌کنید. تصویری از این صفحه برای ما - در یک تاپیک مجزا - ارسال کنید. (نحوه ارسال تصویر)

قفل شده

بازگشت به “بحث و گفتگو در مورد بدافزارها”