Especialista alerta para softwares que alteram DNS para facilitar ataques
Durante a Kaspersky Lab Security Analyst Summit, o vice-presidente e cientista-chefe da AlienVault, Jaime Blasco, alertou para o perigo dos softwares que se utilizam da tecnologia DNS para ataques. Segundo o especialista, nos últimos meses, a prática foi usada para roubar dados dos usuários.
Normalmente, quando cibercriminosos querem derrubar servidores de nomes de domínio (DNS) eles utilizam ataques distribuídos de negação de serviço, comumente chamados de DoS (Denial of Service).
Organizado pelo Kaspersky Lab em Cancún, no México, o Security Analyst Summit (SAS) é um evento anual que reúne desenvolvedores, analistas e pesquisadores, além de agências globais de aplicação da lei e membros da comunidade de pesquisa de segurança. O objetivo é aprender, debater, compartilhar casos, novas tecnologias e formas de melhorar a colaboração na luta contra o cibercrime.
Que tipo de software altera o DNS?
Para comprovar sua teoria, Basco mostrou algumas ferramentas usadas: NSTX, OzymanDNS, Iodine e, talvez, o mais conhecido, o DNScat. Os aplicativos permitem aos usuários fazer upload de arquivos, executar scripts shell e PowerShell (prompts de comando) para baixar outros payloads e depois usá-los nos ataques.
Com que objetivo é alterado o DNS?
Entretanto, diferente de ataques de negação de serviço (DDOs), o objetivo desses atacantes é usar o DNS para a obtenção de informações importantes dos usuários atingidos: pessoais e bancárias.
Como parte de um experimento, Blasco e sua equipe localizaram 50 milhões de arquivos que continham tráfego, jogaram isso em um parser e descobriram que muitas amostras de malware armazenam uma URL em um arquivo TXT e diz que parte do spyware ou malware distribuir. "Há um monte de software que está usando o DNS de uma maneira estranha", avalia Blasco.
Que tipo de problema isso por causar?
Para entender a preocupação do especialista é preciso compreender o que é DNS. O protocolo DNS (Sistema de Nomes de Domínios) é uma tecnologia que redireciona o acesso de um endereço IP para endereços de domínio.
Por causa do DNS, em vez do usuário digitar uma sequência de números e pontos referentes ao endereço IP de um site, ele só precisa digitar o endereço web no navegador. Como os serviços de DNS são um dos principais alicerces da Internet, o comprometimento deste porte pode, de certa forma, paralisar a grande rede virtual.
Diante da afirmação de que malwares estão acessando esse serviço, muitos equipamentos e as informações que circulam neles, correm um sério risco de serem comprometidas. A pior parte disso, é que muito dos usuários, nem mesmo sabem do risco que estão correndo e continuam usando seus PC´s e dispositivos, acreditando que está tudo seguro. E, claro, sendo direcionados a sites falsos.