Nowości w działaniu wirusów. Wkrótce DNS‑over-HTTPS wywoła wiele problemów

Nowe kompilacje systemu Windows 10 obecne w kanale Insider Preview zawierają wbudowanego na poziomie systemowym klienta DNS w wariancie DNS-over-HTTPS. To kontrowersyjny protokół, ze względu na wątpliwości jakie budzi potencjalna centralizacja operatorów serwerów nazw. Nie mniejszym problemem, wywołującym dezaprobatę administratorów, jest generowanie ruchu zasadniczo nieodróżnialnego od typowego ruchu HTTPS, przez co zarządzanie DNS na stacjach w sieci staje się trudniejsze. Tę właśnie cechę zdają się wykorzystywać twórcy wirusów.

Ochrona rozległych sieci LAN przed wirusami nie polega wyłącznie na stosowaniu oprogramowania antywirusowego na końcówkach. Antywirusy są bowiem często bezużyteczne względem nowych zagrożeń i zyskują na nie "odporność" dopiero, gdy jest już za późno. Dlatego poza skanerami antywirusowymi stosuje się także analizę ruchu sieciowego oraz audytowanie stacji roboczych. Jeżeli malware'u nie znajduje antywirus, być może jego obecność wykażą żądania pobierania plików z Kazachstanu, po adresach podawanych w postaci IP. Ewentualnie zrobią to logi z eksplozji aktywacji procesów "dfzlkhgtzdr.exe" forkowanych od rundll32.

W ten sposób można doraźnie zabezpieczyć sieć przed zagrożeniami zanim antywirusy dostarczą przed nimi ochronę. Listy adresów IP serwerów rozsyłających wirusy są blokowane na zaporze, a podejrzane nazwy procesów i/lub ścieżki ich rozwidlania są poszukiwane w logach celem wykrycia śladów infekcji. Dlatego twórcy wirusów muszą być coraz bardziej cwani i stosować skomplikowane sztuczki przy uruchamianiu swojego payloadu. Windows niestety oferuje tuziny metod dziwnego uruchamiania procesów, z których część to ewidentne błędy projektowe, nigdy nieotrzymujące poprawek od producenta.

Dlatego tak ważna jest nie tylko ochrona antywirusowa, ale także możliwość jednoznacznego zidentyfikowania w logach, co jest działalnością szkodliwą, a co "normalną". Gdy granica między nimi staje się niejasna, działanie wirusów może pozostać niewykryte przez długi czas. DNS-over-HTTPS okazuje się być bardzo pomocny w ukrywaniu działalności malware'u i ułatwiać prędką relokację serwerów kontrolujących wirusy, co pozwala na dłuższe przetrwanie kampanii.

Jak to działa? Jak donosi Huntress Labs, pojawiła się odmiana wirusów niestosująca sztywnych list adresów IP (te bowiem są znane badaczom i są blokowane na firmowych zaporach) ani list adresów DNS (tutaj podobnie: IP staną się dynamiczne, ale domeny nie i także zostaną zablokowane). Zamiast tego, odpytuje serwer DNS Google celem otrzymania listy adresów IP przyporządkowanych do złośliwej domeny.

Na czym polega różnica? Taki wirus nie odpyta serwera DNS o złośliwą domenę (generując loga), tylko odpyta Google'a, wysyłając kwerendę do serwera resolve.google.com. Choć nowy Windows 10 posiada klienta DoH, wirus wyśle zapytanie samodzielnie, a nie za pomocą systemu operacyjnego. Samodzielnie stworzone zapytanie nie różni się niczym od tego systemowego. Z jednym wyjątkiem: nie stosuje pamięci podręcznej i nie generuje loga w kategorii odpytania DNS. Z punktu widzenia event tracingu, jest to jedno z wielu zapytań do Google, jakich w sieci setki.

Gdy jednak wirus rozwiąże adres IP swojego centrum dowodzenia za pomocą ukrytego przed logami żądania DoH, czy nie znajdziemy się w tym samym miejscu, co poprzednie wirusy? Przecież nieważne jak zdobyto adresy IP, wciąż można je wpisać na czarną listę, czyż nie? Teoretycznie tak, ale dzięki zastosowaniu DoH, lista złośliwych IP może być zmieniana częściej, przez co czarne listy będą aktualne krócej. Ponieważ nie da się zablokować domeny na DNS, nie da się zablokować ruchu do Google, a IP będą niepodatne na czarne listy, jedyną nadzieją jest wywłaszczenie domeny.

Biorąc pod uwagę to, jak trudno jest skłonić super-tanie "stragany z domenami" do współpracy na polu abuse, nowa metoda rozwiązywania adresów może się okazać wielkim ułatwieniem dla twórców malware'u. Badanie bezpieczeństwa stacji roboczych właśnie stało się trudniejsze.