Siempre que tenemos nuestro antivirus-antimalware activado, recibimos una alerta que nos avisa que estamos ante potenciales archivos maliciosos. En esta ocasión, gracias a esta protección, una de las soluciones antivirus más populares logró descubrir y analizar en detalle a GhostDNS. Se presenta como una herramienta sumamente eficaz y poderosa, con la capacidad de vulnerar routers con niveles de seguridad bastante débiles.
GhostDNS consiste en un conjunto de herramientas para explotar vulnerabilidades en router. Fue posible su detección y análisis en detalle, gracias a que Avast! lo detectó como archivo comprimido sospechoso, mientras una persona trató de subirlo a un portal. Lo que se logra principalmente mediante estas herramientas es que se faciliten ataques como phishing, con el propósito de robar credenciales, especialmente si están relacionadas con datos bancarios, como las tarjetas de crédito.
Recordemos que Avast! es una de las soluciones antivirus/antimalware más conocidas. Recordemos que este, así como otras soluciones, tienen la capacidad de detectar potenciales archivos maliciosos. Una vez que se detecta, se analiza en detalle lo que contiene y qué características tiene el archivo. En consecuencia, pueden tener acceso completo al archivo y obtenerlo como si fuese que el archivo es propio de Avast! u otros programas parecidos.
A partir de esto se logró saber en detalle de qué trata GhostDNS y cómo lleva a cabo la vulneración de los routers. El blanco de la mayoría de estos dispositivos apunta a América Latina, pero muy pronto podría llegar también a España.
¿Qué contiene GhostDNS?
Todo lo necesario para ejecutar ataques de tipo DNS hijack. Este tipo de ataque puede llevarse a cabo tanto a nivel de la red interna como Internet. Por el lado de los ataques internos, GhostDNS permite que cualquier ordenador que tenga como puerta de enlace al router vulnerado, ataque al resto de la red. Ahora bien, los ataques que se dan a través de la salida a Internet necesitan de una herramienta adicional que permita escanear cuáles son los routers vulnerables. Dicha herramienta de escaneo de vulnerabilidades se encuentra dentro del archivo comprimido detectado por Avast!.
Como hemos comentado, el blanco apunta a países de América Latina. Sin embargo, los informes indican que Brasil es el país más afectado. El escáner de routers vulnerables se denomina BRUT, los parámetros que utiliza para localizarlos son las IP públicas y el puerto HTTP abierto. Los análisis de parte de la solución antivirus/antimalware detectaron dos versiones:
- Versión 1: Detecta dispositivos en menor medida. Sin embargo, lista de forma extensa las potenciales combinaciones de usuario y contraseña por defecto de los routers
- Versión 2 (sería la más reciente): Detecta mayor cantidad de dispositivos pero con una menor cantidad de posibles combinaciones de credenciales de administrador.
Una de las razones por las cuales este tipo de kits de exploits tiene mucho éxito, es que una gran parte de los routers cuentan con las credenciales de administrador por defecto. Siempre se recomienda que dichas credenciales se cambien por seguridad, con contraseñas que por supuesto, no sean fáciles de adivinar mediante algún dato personal o número identificador. Sin embargo, esto aun no se ha vuelto la norma y he ahí la razón de la facilidad para encontrar múltiples routers con una misma combinación de usuario y contraseña. Os recomendamos visitar nuestro tutorial sobre cómo crear contraseñas seguras.
Más arriba, dijimos que la herramienta de escáner tiene dos versiones. Haciendo énfasis en la segunda, es más conveniente para un cibercriminal el contar con más routers y menos combinaciones de contraseñas posibles. Esto le da la ventaja de vulnerar mayor cantidad de dispositivos tan sólo probando una sola vez una combinación de contraseñas. Así de sencillo y sin mucho esfuerzo.
Cuando un router ha sido vulnerado por GhostDNS, se cambia la contraseña de acceso administrador. La misma pasa a ser deadcorp2017. Un dato curioso es que entre las posibles contraseñas encontradas en las credenciales de routers vulnerables, se encuentran aquellas que pertenecen a routers ya infectados. Es decir, hay routers con contraseña de administrador deadcorp2017. Esto implica que si tu router ya fue víctima de GhostDNS, puede ser víctima nuevamente mediante la acción de otros cibercriminales.
Esquema de vulneración y ataques
De acuerdo a lo reportado, GhostDNS se vale de una de los riesgos de seguridad web que llegó a mencionarse en OWASP. La misma se denomina Cross Site Request Forgery. Consiste en alterar las configuraciones de DNS en el router. Esto permite que las solicitudes DNS se dirijan a un servidor DNS malicioso (en inglés se lo conoce como rogue server). La dirección del servidor DNS malicioso varía de acuerdo al criterio aplicado por el cibercriminal al llevar a cabo los ataques. En el momento en que Avast! tuvo conocimiento para analizar al respecto, se topó con tres variantes de configuraciones DNS maliciosas, las cuales por fortuna ninguna de ellas opera en la actualidad.
La parte más preocupante de esto es que nadie que esté conectado al router percibe alguna irregularidad, hasta el momento en el que repara en que sus datos han sido robados. Lo reportado también indica que mediante este descubrimiento de parte de la popular solución antivirus, se logró identificar los tipos de sitios web falsos encontrados. Recordemos que estos sitios falsos son los que se despliegan en los navegadores de las personas conectadas a los routers vulnerados. Estos son algunos de ellos:
- Bancos:
- Itaú
- Santander
- Bradesco
- Credicard
- Netflix y otros
Una vez más se refuerza la importancia de proteger los dispositivos con los cuales nos conectamos a Internet. No solamente hablamos del ordenador sino también, en este caso, el router Wi-Fi. Es uno de los dispositivos que más activo se encuentra en nuestras casas. Sin embargo y al mismo tiempo, es uno de los que menos atención recibe en relación a las configuraciones para hacerlo más seguro. Tan sólo el implementar la buena práctica de cambiar la contraseña del administrador del router, hará la diferencia.
Por otro lado, debemos prestar mucha atención cuando navegamos en la web. Incluso si se trata de los sitios que visitamos con frecuencia. Más arriba hemos citado aquellos sitios que estaban incluidos en el kit de exploit de GhostDNS, y podemos encontrar a sitios que hacen alusión a instituciones y servicios sumamente populares. Tomémonos unos segundos y fijémonos en la URL de las páginas que estamos visitando. También debemos echar ojo al contenido de las páginas, aunque hoy en día las páginas de phishing tienen aspecto sumamente similar a las páginas legítimas.
De todas formas, el escudo protector más eficaz ante los eventos de vulneraciones de routers es proteger el acceso administrador con una contraseña segura y verdaderamente fuerte.