Infrastructure des maliciels DNS Changer et TDSS/Alureon/TidServ/TDL4
IN11-002 (MISE À JOUR)
Date : 9 novembre 2011
MISE-À-JOUR
Une décision judiciaire a été approuvée pour la prolongation de la date limite. Le DNS intermédiaire sera maintenu jusqu'au 9 juillet 2012 par le Internet Systems Consortium.
Pour de plus amples renseignements suivre le lien suivant : http://www.dcwg.org/
Objet
La présente note d’information est destinée aux spécialistes de la sécurité de la TI et aux victimes potentielles de DNS Changer. Elle renseigne sur la nature de ce maliciel, les moyens de le détecter et sur la façon d’en atténuer la menace.
Évaluation
Le FBI a récemment mis au jour un réseau de serveurs DNS (Domain Name System ou système de noms de domaine) contrôlé par des cybercriminels. Ce service fédéral étasunien tente de démanteler ce réseau de concert avec des organismes internationaux chargés d’appliquer la loi et la communauté des spécialistes de la cybersécurité. Malheureusement, cette infrastructure de serveurs malveillants a servi pendant plus de trois ans à détourner les renseignements personnels de millions de personnes dans toutes les régions du monde. En introduisant du code malveillant dans l’ordinateur de leurs victimes, les cybercriminels peuvent en modifier les paramètres de serveur DNS et rediriger les demandes de contenu Web vers un serveur DNS malveillant. Comme le service DNS est nécessaire pour mener à bien la plupart des activités sur Internet, le FBI a mis sur pied une entité de confiance formée d’éléments du secteur privé sans lien avec le gouvernement. Il l’a chargée d’exploiter et de tenir à jour un serveur DNS sain destiné aux victimes touchées par le maliciel jusqu’à ce qu’elles soient identifiées et avisées du problème. Les adresses IP des systèmes informatiques susceptibles d’avoir été infectés seront communiquées aux fournisseurs d’accès Internet (FAI) et aux équipes informatiques de secours concernés pour qu’ils avisent les victimes.
L’annonce publique du FBI est disponible à l’adresse http://www.fbi.gov/DNS-malware.pdf (anglais)
- MISE À JOUR -
Le site Web de la communauté de la cybersécurité portant sur DNSChanger se trouve à cette adresse : http://www.dcwg.org/
En vertu d’une ordonnance de la Cour de district des États-Unis actuellement en place, l’Internet Systems Consortium (ISC, http://www.isc.org/) a été autorisé à installer, surveiller et administrer le remplacement du serveur de noms de domaine pour les victimes jusqu’au 8 mars 2012. À cette date, il se peut que les victimes du logiciel malveillant DNSChanger liées à cette opération perdent la connectivité Internet, puisque le serveur de noms de domaine est nécessaire à une utilisation commune.
Une demande de prolongation a été envoyée et est en attente d’une approbation de la Cour des États-Unis pour que l’ISC effectue le remplacement du serveur de noms de domaine jusqu’au 9 juillet 2012, comme le démontre le document suivant :
http://krebsonsecurity.com/wp-content/uploads/2012/02/dnschangerextension.pdf
L’Autorité canadienne pour les enregistrements Internet (ACEI) présente un outil Web qui permet de détecter les utilisateurs Internet qui sont touchés par un logiciel malveillant DNSChanger connexe. Cet outil se trouve à l’adresse suivante :
http://www.dns-ok.ca/
À propos du maliciel DNS Changer
Le maliciel DNS Changer force les ordinateurs ciblés à utiliser des serveurs DNS malveillants plutôt que celui que le FAI fournit habituellement à sa clientèle. Le stratagème consiste à changer les paramètres de serveur DNS des ordinateurs et à accéder aux dispositifs de connexion présents sur le réseau de petite entreprise ou de travailleur à domicile (SoHo) de la victime, réseau qui exploite un serveur DHCP (p. ex., un routeur ou une passerelle résidentielle). Le cyberattaquant utilise alors des noms d’utilisateur et des mots de passe par défaut courants pour se connecter au dispositif SoHo et, s’il y parvient, change les paramètres du serveur DNS associé à ce dispositif. Une telle intrusion peut avoir des conséquences sur tous les ordinateurs reliés au réseau SoHo, même s’ils ne sont pas directement touchés.
L’infrastructure malveillante récemment mise au jour exploite un maliciel baptisé TDSS, Alureon, Tidserv ou TDL4 par la communauté des spécialistes des antivirus. Difficile à détecter et à éliminer, le maliciel a été mis à jour et amélioré à maintes reprises par les attaquants malveillants pour le rendre encore plus insaisissable et résistant. Il modifie certaines clés et valeurs du registre de telle sorte qu’il se réactive systématiquement au démarrage de l’ordinateur touché. Une variante du maliciel infecte une portion du disque dur. C’est le secteur d’amorçage principal (en anglais Master Boot Record ou MBR). Ce secteur est habituellement lu avant le chargement du système d’exploitation. Pour cette raison, il faut procéder à une intervention spéciale pour éliminer le code malveillant qui infecte le MBR.
Mesure recommandées
Détection
La marche à suivre ci-dessous permet de savoir si l’ordinateur a été infecté par la variante MBR du maliciel DNS Changer.
Vérification des paramètres de serveur DNS.
A. Ordinateurs Windows
- Cliquez sur Démarrer.
- Cliquez sur Exécuter...
- Tapez la commande cmd.exe et appuyez sur la touche Entrée.
- Tapez la commande suivante à l’invite dans la fenêtre noire : ipconfig /all. Appuyez sur la touche Entrée.
Repérez la ligne « DNS Servers ». Il n’est pas rare que deux ou trois adresses IP soient affichées.
B. Ordinateurs Macintosh
- Ouvrez les préférences système.
- Choisissez le module Réseau.
- Sélectionnez la connexion servant à accéder à Internet (habituellement AirPort ou Ethernet).
- Cliquez sur le bouton Avancé.
- Cliquez sur l’onglet DNS pour en afficher le contenu.
Vérifiez si les adresses IP du serveur DNS de l’ordinateur correspondent à celles des serveurs DNS malveillants et qui sont répertoriées ci-dessous. Comparez les valeurs de gauche à droite. Si les adresses IP ne débutent pas par 85.255.*.*, 67.210.*.*, 93.188.*.*, 77.67.*.*, 213.109.*.* ou 64.28.*.*, alors l’ordinateur n’est pas touché par la variante du maliciel DNS Changer.
Plages d’adresses IP connues des serveurs DNS malveillants :
- De 85.255.112.0 à 85.255.127.255
- De 67.210.0.0 à 67.210.15.255
- De 93.188.160.0 à 93.188.167.255
- De 77.67.83.0 à 77.67.83.255
- De 213.109.64.0 à 213.109.79.255
- De 64.28.176.0 à 64.28.191.255
C. Routeur résidentiel
Le maliciel DNS Changer peut aussi changer les paramètres de serveur DNS de certains routeurs SoHo dont les propriétaires ont conservé le nom d’utilisateur et le mot de passe réglés en usine. Linksys, D-Link, Netgear et Cisco sont des marques de routeurs Soho courants. Le FAI peut également avoir installé lui-même un tel routeur. La documentation fournie avec l’appareil permet de savoir si le mot de passe par défaut a été utilisé et si les paramètres de serveur DNS correspondent aux plages d’adresses IP des serveurs DNS malveillants précisées ci-dessus. Si tel est le cas, un ordinateur connecté au réseau est peut-être infecté par le maliciel DNS Changer.
- MISE À JOUR -
D. Consultez l’outil de détection de l’ACEI à l’adresse suivante :
http://www.dns-ok.ca/
Restauration
En plus de rediriger le navigateur de l’utilisateur vers des sites potentiellement malveillants, le maliciel DNS Changer peut aussi bloquer les mises à jour du système d’exploitation et des logiciels antivirus. L’ordinateur touché devient alors beaucoup plus vulnérable aux autres maliciels. Les utilisateurs qui pensent que leur ordinateur est touché par le maliciel DNS Changer devraient consulter un spécialiste de l’informatique de bonne réputation. Avant de procéder à la restauration d’un ordinateur infecté, il est préférable de sauvegarder les documents importants, photos, vidéos, morceaux de musique et autres fichiers, sur un support distinct (lecteur externe, CD, DVD). Une fois sauvegardés, ces fichiers, et le support sur lequel ils sont conservés, demeurent potentiellement infectés jusqu’à ce qu’ils soient analysés en profondeur par un antivirus de confiance et à jour. Les renseignements ci-dessous peuvent faciliter la restauration du système infecté.
1) À l’aide d’un ordinateur sain, consultez les instructions sur l’élimination des maliciels du produit TR11-001 du CCRIC: http://www.securitepublique.gc.ca/prg/em/ccirc/2011/tr11-001-fra.aspx
2) Consultez les ressources suivantes sur les variantes DSS, tidserv, TDL4 et Alureon. Des utilitaires sont également proposés.
Analyse technique des variantes de DNS Changer :
Utilitaires (suivre les instructions du fournisseur) :
- MISE À JOUR -
Pour MAC OS X :
Autres outils pour le système d’exploitation Microsoft Windows :
Note aux lecteurs
Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) fonctionne au sein de Sécurité publique Canada et collabore avec des partenaires au Canada et ailleurs pour atténuer les cybermenaces pour les réseaux essentiels à l'extérieur du gouvernement fédéral. Il utilise des systèmes permettant d'assurer le bon fonctionnement des infrastructures essentielles du Canada, comme les réseaux électriques et financiers, et conserver les renseignements commerciaux de valeur qui sont à la base de notre prospérité économique. Le CCRIC aide les propriétaires et les exploitants de systèmes d'importance nationale, y compris les infrastructures essentielles, et est chargé de coordonner l'intervention nationale en cas d'incident important de cybersécurité.
Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:
Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca