DNSChanger 2, FlappyDNSDNSChanger 2 FlappyDNS

20 Maret 2014
DNSChanger 2, FlappyDNS
Saudara Flappy Bird yang memalsukan Update Your Flash Player
Vietnam rupanya bukan saja sumber programmer jago pembuat game seperti Flappy Bird yang sangat populer, namun disinyalir menjadi sumber dari malware yang menggemparkan dunia internet dan berhasil menginjeksi lebih dari 300.000 router di seluruh dunia termasuk Indonesia. Jika rata-rata router memberikan koneksi kepada 5 komputer, maka diperkirakan lebih dari 1,5 juta komputer di dunia yang mengalami pengalihan DNS oleh saudara jauh Flappybird ini.

Malware yang satu ini sangat meresahkan, jika sudah terinfeksi akan sangat sulit untuk dikembalikan dan kebanyakan user angkat tangan karena ia tidak mempan dibersihkan menggunakan antivirus apapun, atau bahkan format dan instal ulang komputer tidak akan memecahkan masalah ini. Hal ini terjadi karena yang diinjeksi bukan komputer melainkan router internet. Jika anda pengguna router sejuta umat TP-Link yang menurut data IDC 2013 merupakan merek router dengan penjualan terbesar di dunia, anda perlu ektra hati-hati karena banyak produk TP-Link yang rentan terhadap eksploitasi yang jika berhasil mengubah DNS router akan mengalihkan akses dari situs Google, Facebook dan Youtube ke IP lain yang telah dipersiapkan, meskipun tampilan alamat situs tidak berubah dan tetap www.google.com (lihat gambar 1), www.facebook.com dan www.youtube.com. Sebagai catatan, karena DNS server yang digunakan kemungkinan besar dibawah kendali pembuat malware ini, maka sangat mudah bagi pemilik DNS ini melakukan aksi lain dan mengalihkan akses selain tiga situs besar di atas. Beberapa hal yang dikhawatirkan adalah jika yang dialihkan adalah akses e-commerce dan internet banking yang sudah jelas akan menimbulkan kerugian finansial yang besar. Jika anda bukan pengguna TP-Link, anda jangan bergembira dulu, karena eksploitasi ini juga bisa berjalan pada router Airlive, D-Link, Micronet, Tenda dan Zyxel.
20140320I_flappydns02
 Gambar 1 : Tampilan Update Your Flash Player
Jika anda mengklik tombol install ia akan mengunduh aplikasi dengan nama setup.exe. Jika dijalankanklik, maka bukan update Flash Player yang anda dapatkan, melainkan gerombolan siberat alias malware lain yang akan dijalankan pada komputer anda.
20140320I_flappydns05
Gambar 2 : Tampilan Setup.exe
Mengubah IP situs tujuan ke situs lain

Laboratorium Vaksincom mengadakan pengetesan untuk membuktikan kalau DNS server yang diinjeksikan ini mengubah akses dari IP yang seharusnya ke IP lain (lihat tabel 1 di bawah)

Website

Original IP

DNSChanger 2 - IP

Google.com

111.94.248.24

194.28.172.232

facebook.com

173.252.110.27

194.28.172.232

Youtube.com

74.125.200.93

194.28.172.232

Tabel 1, Pengalihan IP server yang dilakukan oleh DNSChanger 2.
Dari tabel 1 di atas terlihat dari komputer yang menggunakan DNS yang belum diinjeksi di Indonesia mengakses ketiga situs di atas mala IP Google.com adalah 117.102.117.208, Facebook.com 173.252.110.27 dan Youtube 74.125.200.136 (lihat gambar 3).
20140320I_flappydns04
 Gambar 3 : IP situs asli 
Namun jika diakses dari DNS yang telah diinjeksi semuanya mengarahkan ke server dengan alamat IP 194.28.172.232. (lihat gambar 4).
20140320I_flappydns01
Gambar 4 : Tampilan PING ke situs Google, Facebook dan Youtube dari DNS yang telah diinjeksi 
Menurut penelusuran Laboratorium Vaksincom, IP tersebut kemungkinan besar berasal dari Ukraina, bisa dilihat pada gambar 4 di bawah ini :
20140320I_flappydns07
 Gambar 5 : Server IP sumber malware berasal dari Ukraina
Untuk menuntaskan masalah ini cukup sulit dan menutup server phishing yang dipersiapkan tidak akan efektif karena pembuat malware tinggal menginjeksikan malware yang telah dipersiapkan ke IP lain yang telah dipersiapkan. Lalu informasi IP tersebut diupdate ke DNS server yang dikuasainya. Dan dalam banyak kasus besar kemungkinan pemilik IP tersebut tidak mengetahui bahwa servernya dijadikan sebagai hosting malware dan servernya berhasil dikuasai karena kecerobohannya tidak melakukan update atau melakukan perlindungan yang baik pada servernya.

Jika DNSserver jahat yang dibasmi, hal ini bisa menghentikan aksi DNSserver tersebut, namun kembali pembuat malware bisa dengan mudah mengalihkan DNSserver dan mengupdate informasi ini ke agen-agen infeksinya yang kebanyakan disebarkan di situs-situs yang sering dikunjungi dan secara otomatis akan mengupdate kembali informasi IP DNSserver jahat yang telah dimatikan ini dengan IP baru.

Cara paling efektif untuk mencegah diri anda menjadi korban adalah melakukan update firmware router yang memiliki celah keamanan, mengubah settingan default dan mengubah password administrator default. Sebagai informasi, meskipun anda sudah mengubah password administrator default dan anda belum melakukan update firmware, skrip injeksi DNS yang telah dipersiapkan akan mampu tetap mengubah DNS router anda. Karena itu, update firmware merupakan salah satu hal yang sangat penting anda lakukan agar terhindar dari eksploitasi. Namun Vaksincom menyarankan anda ektra hati-hati dalam mengupdate firmware karena kesalahan dalam update firmware akan menyebabkan router anda menjadi rusak / tidak bisa berfungsi dengan baik. Jika anda tidak mengerti cara mengupdate firmware silahkan berkonsultasi dengan toko penjual router anda atau teknisi yang berkompeten seperti Vaksinis.

Menurut catatan Vaksincom, beberapa tipe reouter yang memiliki celah keamanan dan bisa diinjeksi oleh skrip pengubah malware adalah :
  •     TP-Link WR1043ND V1 dengan firmware 3.3.12 build 120405 ke bawah.
  •     TP Link TL-MR3020 firmware 3.14.2 build 120817 release 55520n
  •     TP-Link TL-MR3020 firmware 3.15.2 build 130326 release 58517n
  •     TP-Link TL-MR3220 firmware 3.13.1 build 121123 release 57760n
  •     TP-Link WDR3500 firmware 3.13.22 build 120807 release 36604n
  •     TP-Link MR3420 V1 firmware 3.13.1 build 121123 release 57630n
  •     TP-Link TD-W8901G firmware 3.0.0 build 090730 release 08665
  •     TP-Link TD-W8901G firmware 3.0.0 build 090730 release 08665
  •     TP-Link TD-W8961ND
Untuk mengetahui apakah router anda memiliki kelemahan atau tidak, silahkan ikuti petunjuk dari Jakob Lell sebagai berikut :
  1. Buka peramban anda dan login ke router anda.
  2. Masuk ke setting DHCP server dan perhatikan Primary DNS dan Secondary DNS. Seharusnya IP DNSserver adalah 0.0.0.0 atau IP DNS server ISP anda. (lihat gambar 5)
20140320I_flappydns06
Gambar 5, Setting DNS server di TPLink
3. Jalankan skrip di bawah ini di peramban anda klik pada "script" di bawah ini :
20140320I_flappydns08
Gambar 6, Jalankan skrip untuk mengetahui apakah router anda bisa dieksploitasi
4. Jika alamat primary dan secondary DNS anda berubah menjadi seperti gambar 7 di bawah ini, maka router anda rentan terhadap eksploitasi DNSchanger 2.
20140320I_flappydns03
 Gambar 7, DNS yang dieksploitasi oleh router
PENTING !!!
DNS 180.131.144.144 dan 180.131.145.145 adalah DNS Nawala dan bukan DNS jahat. Script ini dibuat untuk mengecek apakah setting router anda bisa dirubah dengan script yang dijalankan dari browser. Vaksincom menggunakan DNS Nawala hanya sebagai contoh untuk memberikan gambaran kalau DNS router anda rentan terhadap perubahan yang dilakukan dari browser.


Jika anda ingin berbagi informasi mengenai router di luar daftar yang dimiliki Vaksincom yang rentan, harap berpartisipasi mengupdate komentar FB comment di http://www.vaksin.com/0314-dns-flappy
Salam,


A. R. Wicak
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: