DHCP-trojaner forsøger at kapre netværkets DNS-opsætning

En ny trojansk bagdør indleder et kapløb med netværkets DHCP-server for at ændre DNS-indstillingerne for klienter, der kobles på netværket.

En ny trojansk bagdør forsøger at inficere de øvrige klienter på samme netværk ved at optræde som en ondsindet DCHP-server, der indleder et kapløb med den ægte DHCP-server på netværket.

Sikkerhedsfirmaet Symantec advarer mod den nye trojanske bagdør, som kan føre til, at klienterne bliver ført til ondsindede websteder.

Trojaneren fungerer ved at sætte en DHCP-server på en pc, som er blevet inficeret.

DHCP er den protokol, som bruges på de fleste lokalnetværk til automatisk at tildele IP-adresser og netværksindstillinger til klienter, som kobles på netværket.

DHCP er designet, før sikkerhed for alvor kom i fokus for netværk. Derfor er der ikke indlagt nogen form for autentifikation i DHCP.

Det betyder, at enhver maskine på lokalnetværket i princippet kan optræde som en DHCP-server. Normalt vil denne funktion være håndteret af netværksrouteren eller en domain-controller.

Problemet er imidlertid, at konstruktionen af DHCP betyder, at tildelingen af netværksindstillinger til en ny klient foregår efter et først-til-mølle-princip. Med andre ord tager klienten imod indstillinger fra den DHCP-server, som svarer først.

Det betyder, at hvis den inficerede klient sender et DHCP-svar til en ny klient, før netværkets officielle DHCP-server, så vinder trojaneren.

Dermed kan en klient få tildelt DNS-serveradresser, som tilhører DNS-servere, der er styret af eksempelvis phishing-grupper. Det kan betyde, at brugeren ledes hen til et ondsindet phishing-websted, når brugeren indtaster adressen på et normalt sikkert websted.

Det mest problematiske for netværksadministratoren ved dette angreb er, at det kun er den falske DHCP-server, som er inficeret. De øvrige klienter kan have de ondsindede DHCP-servere i deres netværksindstillinger, men der vil ikke være andre spor efter et angreb.

Angrebet er dog ikke en garanteret succes. Den falske DHCP-server skal svare først på en DHCP-forespørgsel, og ikke alle klienter vil bede om en ny IP-adresse og DHCP-indstillinger, hver gang den kobles på netværket.

Til gengæld vil alle typer klienter, der benytter DHCP, i princippet være sårbare. Både Windows, Linux og Mac-pc'er vil kunne rammes, og det gælder også mobiltelefoner og andre internetenheder.

Det enkleste forsvar mod denne type angreb er at lade firewallen blokere for adgang til de ondsindede DNS-servere, som trojaneren forsøger at sætte op.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Makholm

Muligvis kan det aktuelle angreb afværges eller opdages ved at påtvinge folk en intern rekursiv DNS-server, men generelt set hjælper det ikke mod en rogue dhcp-server.

Trojaneren kunne foreksempel bundle sin egen DNS-server eller også kunne den sende sit eget IP-nummer med som gateway og dermed have mulighed for at sniffe alt netværkstrafikken.

Det er i øvrigt noget forbandet noget at debugge, hvis nogen har kommet til at sætte en dhcp-server på netværket.

  • 0
  • 0
Mikkel Mondrup Kristensen

Mange switche (hp, foundry og allied gør) understøtter DHCP snooping hvor man som oftes kan vælge trustede og untrustede porte på switchene, så skulle kun uplink og den port som dhcp serveren sidder på være trusted så skulle denne slags angreb ikke kunne lade sig gøre.

  • 0
  • 0
Kjeld Flarup Christensen

Det her gør jo phishing uhyre nemt. Hvor man før blot kunne ignorere phishere, så kan de jo blot lave en kopi af webbankens velkomst side.

Fra nu af skal man i høj grad være opmærksom på når man får en advarsel om at et certificat ikke er registreret.

Hvis man altså taster https ind!!!

Men det gør det jo også problematisk at der er så mange sites derude som ikke har et registreret certificat. Det får folk til at ignore disse fejl

  • 0
  • 0
Lars Tørnes Hansen

På vores kollegienetværk er der et jagtscript, som jagter rouge DHCP servere.

Det virker fint, da alle hosts i netværket er forbundet med Layer 3 switches, som lukker netforbindelsen, så snart en Host svarer positivt på en DHCP forespørgsel (borset selvfølgelig fra den server som er kollegiets DHCP server).

Så her på vores netværk vil Hosts med en sådan trojaner blive smidt af nettet, så her er der ikke noget at frygte.

  • 0
  • 0
Log ind eller Opret konto for at kommentere