GETOVERX FORUM Community Support
DNSChangerGo (2024) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Botnets / Bots (https://forum.getoverx.com/forumdisplay.php?fid=22)
+--- Thread: DNSChangerGo (2024) (/showthread.php?tid=72)

DNSChangerGo (2024) - mrwebfeeder - 11-29-2025

Nombre: DNSChangerGo

Categoría: DNS hijacker / Malware para routers

Fecha de descubrimiento: 2024

Comportamiento (lo que hace y qué afecta):
- Malware enfocado en comprometer routers domésticos y de pequeña empresa, con el objetivo de secuestrar el tráfico DNS.
- Changes router DNS settings via exploits:
- Intenta conectarse a la interfaz de administración del router (HTTP/HTTPS/Telnet/otras) usando:
- Credenciales por defecto.
- Listas de contraseñas comunes.
- Explotación de vulnerabilidades conocidas en firmware o paneles web.
- Una vez que consigue acceso, modifica la configuración DNS del router para apuntar a servidores DNS controlados por el atacante.
- Impacto principal:
- Todo dispositivo que obtenga su configuración (DNS) vía DHCP del router:
- Resuelve dominios a través del DNS malicioso.
- Puede ser redirigido a:
- Páginas de phishing (banca, correo, redes sociales).
- Páginas de descarga de malware.
- Publicidad/banners fraudulentos.
- No cifra archivos en los endpoints ni “infecta” el sistema como tal: el vector es el secuestró de la resolución DNS a nivel de red.
- En algunos escenarios, el mismo agente en el endpoint puede:
- Comprobar y reportar cambios anómalos en la configuración DNS local (servidores extraños, cambios repetidos, etc.).
- Intentar moverse lateralmente a otros dispositivos de red mal configurados.

Persistencia (comportamiento típico):
- Mientras el router mantenga:
- Las credenciales sin cambiar.
- El firmware vulnerable sin parchear.
- La configuración DNS maliciosa activa.
- Los equipos seguirán usando los servidores DNS del atacante incluso si están “limpios” a nivel de endpoint.
- En algunos casos, los atacantes configuran:
- DNS primario malicioso + DNS secundario legítimo para mezclar tráfico normal con redirecciones selectivas.
- Reglas de administración remota en el router para poder volver a entrar incluso si el usuario cambia algunos ajustes.

Hash real de referencia (SHA-256):
Muestra pública asociada a DNSChangerGo:
Code:
1b1e96d5fd215768c61a2b7f2e4e6e99794bbeae3b7f5571f18fafdb07bcd837

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Firewall block router admin ports:
    - Usar el firewall de GetOverX Shield para proteger el acceso al panel del router:
    - Bloquear o restringir el acceso a los puertos de administración del router (HTTP/HTTPS/Telnet/SSH) desde Internet.
    - Permitir sólo:
    - Acceso desde la red interna.
    - Preferiblemente, desde IPs/hosts de administración específicos.
    - En redes corporativas pequeñas:
    - Crear reglas que impidan que equipos de usuario (segmento “user”) lleguen directamente al puerto de administración del router; sólo un equipo de administración debería tener ese acceso.
    - Registrar y alertar:
    - Intentos de conexión repetidos a la IP de gestión del router desde hosts no autorizados.

  • EDR detect DNS configuration hijacks:
    - Configurar el módulo EDR para vigilar:
    - Cambios en la configuración DNS de los endpoints:
    - Servidores DNS inesperados (IP públicas poco comunes o rangos desconocidos).
    - Cambios frecuentes en los DNS sin intervención del administrador.
    - Modificaciones en:
    - Parámetros de red obtenidos por DHCP.
    - Ficheros de configuración local de DNS (hosts, resolvers, etc. cuando aplique).
    - Comportamiento recomendado:
    - Si se detecta que múltiples equipos reciben el mismo DNS sospechoso:
    - Marcar como posible indica​dor de compromiso del router.
    - Generar una alerta de alto nivel para revisar la configuración del equipo de borde (router/modem).
    - Registrar detalle (host, DNS previo, DNS nuevo, hora) en los logs unificados.

  • Alert on unauthorized DHCP changes:
    - Integrar reglas de monitoreo para:
    - Cambios en la configuración de DHCP (servidores DNS, gateway, dominios de búsqueda) que no coincidan con las políticas definidas.
    - Acciones:
    - Cuando un endpoint reciba parámetros DHCP con DNS fuera de la lista permitida:
    - Generar alerta inmediata.
    - Opcionalmente, forzar:
    - Reemplazo automático por una configuración DNS segura predefinida.
    - Bloqueo de navegación hasta que se confirme o corrija el incidente de red.
    - Recomendado:
    - Mantener un listado de DNS autorizados (propios, de la organización o de proveedores confiables).
    - Alertar cuando aparezcan DNS nuevos que no estén documentados.

  • Medidas adicionales recomendadas:
    - Cambiar credenciales por defecto del router y desactivar la administración remota desde Internet.
    - Mantener el firmware del router actualizado con los últimos parches de seguridad.
    - Revisar periódicamente:
    - Configuración DNS del router.
    - Listas de reenvío (forwarders) en servidores DNS internos si existen.
    - En caso de detectar compromiso:
    - Restaurar el router a valores de fábrica.
    - Reconfigurar manualmente (sin cargar respaldos no confiables).
    - Volver a establecer DNS legítimos y credenciales fuertes.