Perfide Attacke

Trojanisches Pferd mit DHCP-Server an Bord

10.12.2008
Uli Ries ist freier Journalist in München.
Anzeige  Der Trojaner Trojan.Flush.M installiert auf infizierten PCs einen bösartigen DHCP-Server, der anderen Clients einen vom Angreifer kontrollierten DNS-Eintrag unterschiebt. Somit genügt im Prinzip ein infizierter PC, um ein ganzes Firmennetzwerk mit falschen DNS-Informationen zu verseuchen. Bislang scheint sich der Trojaner allerdings nur langsam zu verbreiten.
Übler Geselle: Ein Trojaner, der einen bösartigen DHCP-Server installiert.
Übler Geselle: Ein Trojaner, der einen bösartigen DHCP-Server installiert.

Trojan.Flush.M macht aus jedem infizierten PC einen bösartigen DHCP-Server, indem der Schädling einen voll funktionstüchtigen Netzwerktreiber (NDISprot) installiert. Um den Treiber verlässlich zu laden, fügt der Trojaner noch einen neuen Systemdienst hinzu (ArcNet NDIS Protocol Driver). NDISprot erkennt DHCP-Anfragen anderer Clients im Netzwerk erkennen und kann sich selbst als DHCP-Server ausgeben. Gewinnt der gefälschte DHCP-Server das Rennen um die Antwort an den Client gegen den legitimen DHCP-Server des jeweiligen Netzes, verwirft der anfragende Client die langsamere Antwort.

Jeder Client, der seine IP-Daten vom bösartigen DHCP-Server bezieht, bekommt neben den jeweils gültigen Werten für IP-Adresse und Subnetz zwei IP-Adressen von DNS-Server (85.255.112.36 und 85.255.112.41) untergejubelt. Diese DNS-Server stehen unter der Kontrolle der Cyber-Kriminellen, so dass alle Namensanfragen der – an sich nicht infizierten – Clients prinzipiell mit gefälschten IP-Adressen beantwortet werden können. Somit können die Angreifer jeden beliebigen Aufruf einer Website auf von ihnen bestimmte (Phishing)-Seiten umleiten.

Bereits ein einziger infizierter PC genügt theoretisch, um alle DNS-Anfragen eines ganzen Unternehmensnetzwerkes zu den Nameservern der Kriminellen zu schicken. In der Praxis wird dies jedoch kaum vorkommen, da der legitime DHCP-Server nicht jedes Rennen gegen die bösartige Komponente verliert. Außerdem hat sich der Trojaner laut Symantec bislang kaum verbreitet, so dass die Antiviren-Spezialisten Trojan.Flush.M lediglich als geringe Gefahr einstufen.

Schutz vor dem DHCP-Trojaner sollten die üblichen Anti-Viren-Programme bieten, da der Schädling inzwischen in die Signatufiles der Scanner eingeflossen sein sollte. Darüberhinaus können Administratoren die Router und Firewalls im Unternehmen so konfigurieren, dass alle von Clients stammenden und ans Internet gerichteten DNS-Anfragen blockiert werden und lediglich der Intranet-DNS-Server mit der Außenwelt kommunizieren darf. Auf diese Weise fällt eine Attacke zudem schnell auf, da die mit gefälschten DNS-Einträgen versorgen Clients keine Namen mehr auflösen können.