Neste post iremos analisar o que é o sequestro de DNS, como verificar se você está sendo afetado por esse tipo de ataque e como mitigá-lo.

O que é o sequestro de DNS?

O sequestro de DNS é um tipo de ataque, também conhecido como redirecionamento, em que o atacante consegue alterar os servidores DNS para que as consultas de resolução de nomes sejam resolvidas de forma incorreta e redirijam de forma inesperada os usuários para sites maliciosos.

Desta forma, quando o dispositivo da vítima consulta o domínio "example.com", o DNS malicioso responde com o endereço IP de um site fraudulento, diferente do original, e consegue endereçar a conexão da vítima.

Imagem 1. Funcionamento de um servidor DNS.

Como um atacante pode alterar o DNS: tipos de ataque

Um atacante pode alterar o DNS de várias maneiras, incluindo: infectar a vítima com código malicioso, assumir o controle de um roteador de uma rede ou interceptar a comunicação DNS.

Portanto, existem 3 tipos de ataques para redirecionar o DNS:

  1. Sequestro de DNS local

O atacante consegue comprometer o dispositivo da vítima e altera a configuração DNS local.

  1. Sequestro de DNS roteador

O atacante consegue controlar o roteador da vítima (devido a uma configuração incorreta ou a uma vulnerabilidade no roteador) e reescreve a configuração DNS do dispositivo, afetando todos os usuários conectados à rede.

  1. MitM DNS attack

O atacante consegue interceptar a comunicação entre o usuário e o servidor DNS legítimo, e altera a resposta do servidor com um IP de destino que aponta para um site malicioso.

O principal objetivo desse tipo de ataque é redirecionar a vítima para sites fraudulentos, que são em sua maioria phishing, e assim obter usuários, senhas, cartões de crédito e todo tipo de informação confidencial. Esse ataque também é amplamente usado para redirecionar o usuário a sites de publicidade ou exibir adware, o que gera um ganho econômico para o atacante.

Como perceber se estou sendo vítima do sequestro de DNS?

Como o ataque é baseado na alteração do DNS para redirecionar as consultas de nomes para um servidor malicioso, a primeira verificação que podemos fazer é ver quais servidores estão resolvendo nossas consultas. Uma maneira é revisar a configuração de rede local de nossos dispositivos, mas isso nos dará poucas informações ou servirá apenas para descartar casos de sequestro local.

No exemplo a seguir, vemos a configuração IP de um computador com Windows (usando o comando ipconfig/all). Aqui é importante diferenciar o que é o DNS Suffix com os servidores DNS, já que são esses últimos receberão as consultas de nomes e devolverão o IP. Por outro lado, o DNS Suffix é usado apenas em redes locais quando consultamos um nome de dispositivo sem especificar um domínio. Ou seja, neste caso, se eu indagasse sobre o IP do dispositivo "test1" sem esclarecer qualquer domínio, meu dispositivo automaticamente entenderá que estou procurando o IP "test1.example.net".

Imagem 2. Configuração IP local no Windows.

No entanto, na configuração local do dispositivo raramente veremos realmente qual é o servidor DNS público que está resolvendo nossas consultas, já que normalmente o IP atribuído pela maioria dos DHCPs dos roteadores domésticos é o próprio roteador.

Portanto, para verificar se nossos pacotes DNS estão sendo respondidos por uma fonte confiável, a melhor maneira de confirmar isso é fazer uma consulta pública e verificar quais servidores estão respondendo. Para isso, podemos usar sites de verificação de DNS, semelhantes aos que usamos para descobrir nosso IP público. Alguns dos sites que os atacantes podem usar:

DNS Leak Test: Serviço que permite detectar os servidores DNS que estão respondendo às suas consultas. É aconselhável realizar o teste estendido, que permite descobrir todos os servidores DNS que sua consulta está passando.

What’s my DNS Server: Esse serviço é muito simples de usar e, com um clique, você sabe qual servidor DNS está resolvendo as consultas. Além disso, a página informa se o mesmo é confiável ou se foi denunciado como fraudulento.

Imagem 3. Resultado do What’s my DNS Server.

Que medidas de proteção podemos usar para evitar sermos vítimas?

O primeiro passo é proteger a rede e, para isso, é essencial ter um roteador seguro, configurado e atualizado corretamente.

Como regra geral, o ideal é sempre ter o controle do roteador em nossa rede e, assim, ter a certeza de que ele está configurado de forma segura. O problema ocorre muitas vezes com o dispositivo do provedor de Internet, uma vez que muitos ISPs não informam ao usuário a administração do roteador ou o modem que fornecem. Se este for o seu caso, você tem duas opções, mas para ambos você deve ter seu próprio roteador.

A primeira opção, e a mais adequada, é pedir ao seu provedor de Internet para configure seu roteador no modo bridge - o roteador do provedor atribui diretamente ao seu roteador o IP público que ele usará para navegar na Internet. Em seguida, você deve configurar seu roteador para fazer a WAN IP dinamicamente e sobrescrever o DNS com alguns de confiança.

A segunda opção, caso a configuração anterior não seja viável, é configurar uma nova rede LAN com seu próprio roteador. Nesse caso, seu roteador terá dois IPs privados, o IP da LAN ao qual seu dispositivo se conectará e outro IP privado que usará a porta WAN para se comunicar com o roteador do ISP. Neste caso, é muito importante desativar a função WiFi do roteador do provedor e configurar o DHCP em nosso próprio computador com DNS confiável.

Uma vez que você tenha seu próprio dispositivo instalado, não esqueça de rever algumas de nossas dicas para garantir uma correta configuração e, consequentemte, proteção.

Lembre-se sempre de usar uma solução de segurança atualizada em todos os seus dispositivos. Uma solução antivírus não só impedirá que o seu computador seja infectado por um código malicioso que possa alterar o DNS, mas também detectará conexões que foram redirecionadas para sites fraudulentos.