A maioria das dicas e orientações que temos visto a respeito de como se proteger digitalmente (seja você um usuário/administrador corporativo ou não), envolvem utilizar um antivírus atualizado, ter um comportamento de não clicar em links maliciosos, ter um firewall que realize bloqueio de portas, um IDS, etc. Mas e se existir um ataque onde a proteção, em alguns casos, foge do seu controle? Sim, estamos falando do pharming! Servidores DNS maliciosos externos à organização são um desses casos.
O protocolo DNS (Domain Name System ou Sistema de Nomes de Domínio) que acompanha os serviços de DNS (como o Bind, por exemplo), faz a tradução de um endereço amigável (www.axur.com.br) para um endereço IP (54.232.245.33). Dessa forma, não precisamos decorar os endereços IP dos sites que queremos visitar. Um endereço IP serve como uma identidade de tudo que está conectado à Internet, e isso inclui o endereço IP da sua conexão e o IP do site que estamos visitando.
Os ataques direcionados aos servidores DNS existem há muitos anos, com o objetivo de enganar os usuários. Mas como assim “enganar os usuários”?
É aí que entra o Pharming. O pharming é um tipo de ataque que possibilita o redirecionamento do tráfego de um site legítimo para um site falso (controlado pelo atacante). Desta forma, informações sensíveis como nomes de usuário, senhas, dados bancários e outras informações poderão ser roubadas.
Quando você digita umsitequalquer.com.br em seu navegador, alguns processos precisam ocorrem em background antes que a página desejada seja carregada em seu navegador. Esses processos são manipulados pelos atacantes, de forma que as suas requisições – que você pensava estarem indo para o site legítimo – na verdade estão indo para um site falso.
Normalmente o site falso possui o mesmo visual do legítimo, enganando facilmente as vítimas e fazendo com que elas baixem arquivos de malware em seus notebooks e smartphones e/ou que forneçam informações sensíveis nesses sites.
O computador da vítima é infectado com um malware que altera o arquivo hosts de seu sistema operacional (Linux, Mac ou Windows), inserindo o IP de um servidor do atacante ao lado dos domínios já existentes ou incluindo novos domínios já com o IP malicioso ao lado.
Dessa forma, ao digitar um endereço (e pressionar enter) o sistema operacional consultará o arquivo hosts em busca do endereço IP correspondente ao endereço digitado – neste caso, o IP do servidor do atacante – e normalmente carregará um site falso bastante similar ao autêntico.
Após explorar vulnerabilidades no sistema de DNS, o ataque “sequestra” os servidores e redireciona todo o tráfego para servidores maliciosos. Normalmente, servidores de DNS mantidos por operadoras de telefonia que fornecem Internet para usuários e empresas são os mais visados, devido à quantidade de vítimas em potencial – que podem ser milhares!
Ah, e ainda o roteador (normalmente é o da operadora e que possui wi-fi) da sua residência pode ser um vetor do ataque, já que ele armazena em cache o nome dos sites (e seus respectivos IPs) visitados anteriormente pelos dispositivos que estão (ou estiveram) conectados na sua rede wifi. Um malware criado especificamente para infectar estes dispositivos pode alterar os IPs dos sites visitados que estão em cache (gravados no disco) para os de servidores que não são legítimos.
Um Rogue DNS ou DNS Trapaceiro é basicamente é um servidor DNS falso. Ele faz a mesma coisa que um servidor legítimo, que é realizar a tradução de nomes de domínio para endereços IPs. Mas a grande diferença aqui é que ele pode traduzir os endereços que são digitados no navegador para IPs de servidores maliciosos.
A maioria dos usuários, corporativos ou domésticos, pode depender de servidores DNS que são atribuídos automaticamente por seus provedores de Internet (ou operadoras de telefonia). Computadores e servidores infectados por malwares alteram as suas configurações de DNS de forma que o IP de DNS que seria atribuído pelo provedor de Internet "dê lugar" ao DNS malicioso do atacante.
Roteadores de Internet (como aquele da operadora que você tem na sua casa ou na empresa) também podem ter os IPs de servidores de DNS alterados para os que são controlados pelos atacantes.
Um malware que explora alguma vulnerabilidade de firmware para alterar os endereços IPs dos sites visitados para IPs de sites maliciosos também poderá alterar o IP de DNS que é atribuído automaticamente pela operadora de telefonia para os IPs de DNS maliciosos.
Em vários casos, os usuários utilizam o IP do roteador como um servidor de DNS para poderem navegar. Se o roteador estiver infectado e ele for o DNS padrão da rede, automaticamente todo o tráfego de Internet será direcionado para um Rogue DNS que fará a resolução de nomes de domínio para IPs falsos.
Para o ataque de pharming malware, é importante que você: